JFrog 安全研究团队披露了 Linux 内核本地提权漏洞 DirtyClone(CVE-2026-43503),CVSS 评分 8.8。该漏洞属于 DirtyFrag 家族的新变种,因 __pskb_copy_fclone() 等函数在克隆 socket buffer 时丢失 SKBFL_SHARED_FRAG 标志,导致内核将只读 page cache 内存误判为可写网络缓冲区。
漏洞原理
攻击者通过配置本地 loopback IPsec 隧道,再利用 netfilter TEE 规则触发 __pskb_copy_fclone() 克隆数据包。克隆过程中安全标志丢失,ESP 解密路径直接在 page cache 上执行写入操作,静默篡改特权可执行文件(如 /usr/bin/su)并获取 root 权限。
整个攻击过程不留内核日志或审计痕迹,磁盘文件内容不变,绕过常见文件完整性监控工具。
受影响范围
Debian、Ubuntu、Fedora 等默认启用非特权用户命名空间的发行版风险最高。多租户云环境和 Kubernetes 集群尤需警惕。任何缺少完整 DirtyFrag 补丁链(CVE-2026-43284、CVE-2026-46300、CVE-2026-43503)的内核均存在风险。
修复与缓解
漏洞已于 5 月 21 日在 Linux v7.1-rc5 中修复,Ubuntu 等发行版已发布补丁内核。若无法立即更新:
将 kernel.unprivileged_userns_clone 设为 0
屏蔽 esp4、esp6、rxrpc 内核模块