【已复现】Linux Kernel DirtyClone 本地权限提升漏洞(CVE-2026-43503)安全风险通告
漏洞概述 |
漏洞名称 | Linux Kernel DirtyClone 本地权限提升漏洞 |
漏洞编号 | QVD-2026-28380,CVE-2026-43503 |
公开时间 | 2026-05-23 | 影响量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.8 |
威胁类型 | 权限提升 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用此漏洞,通过构造特定的网络数据包,修改映射到内存中的特权二进制文件(如 /usr/bin/su),从而在无需修改磁盘文件的情况下,实现从普通用户到 root 用户的权限提升。 |
Linux 内核是由 Linus Torvalds 于1991年发起开发的开源类 Unix 操作系统内核,它是全球使用最广泛的操作系统内核之一,为服务器、桌面系统、嵌入式设备、移动设备及云计算基础设施提供核心系统服务。Linux 内核负责管理系统的硬件资源,包括进程调度、内存管理、文件系统、设备驱动程序以及网络协议栈等关键功能。其网络子系统支持 TCP/IP 协议族、IPsec VPN、网络过滤(iptables/nftables)等高级网络功能,广泛应用于企业数据中心、云服务提供商及容器编排平台。
近日,奇安信CERT监测到官方修复Linux Kernel DirtyClone 本地权限提升漏洞(CVE-2026-43503),该漏洞源于内核在通过 __pskb_copy_fclone 等辅助函数克隆或转移网络数据包分片(fragments)时,未能正确传播 SKBFL_SHARED_FRAG 标志位。该标志位用于标记数据包是否引用了共享的(如文件页缓存)内存页。由于标志位丢失,导致后续处理流程(如 IPsec ESP 解密)误判内存属性,未执行必要的写时复制(Copy-on-Write)操作,而是直接在共享的只读文件内存页上进行原地解密写入。攻击者可以利用此漏洞,通过构造特定的网络数据包,修改映射到内存中的特权二进制文件(如 /usr/bin/su),从而在无需修改磁盘文件的情况下,实现从普通用户到 root 用户的权限提升。DirtyClone 属于 DirtyFrag 漏洞家族的新变种。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。1.系统启用非特权用户命名空间(允许本地用户获取 CAP_NET_ADMIN)。
2.系统需要加载 esp4、esp6 或 rxrpc 等内核模块,或内核编译时包含 IPsec 支持。3.9 <= Linux Kernel < 5.10.2575.11 <= Linux Kernel < 5.15.2085.16 <= Linux Kernel < 6.1.1746.2 <= Linux Kernel < 6.6.1416.7 <= Linux Kernel < 6.12.916.13 <= Linux Kernel < 6.18.336.19 <= Linux Kernel < 7.0.107.1-rc1 <= Linux Kernel < 7.1-rc5目前,奇安信威胁情报中心安全研究员已成功复现Linux Kernel DirtyClone 本地权限提升漏洞(CVE-2026-43503),默认情况下 ubntu 上需要关闭 AppArmor sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0,截图如下:
目前官方已有可更新版本,建议尽快将 Linux 内核升级至包含修复补丁的版本,上游主修复版本为 v7.1-rc5(commit 48f6a5356a33)。https://git.kernel.org/stable/c/48f6a5356a33dd78e7144ae1faef95ffc990aae0各发行版已发布安全更新,请根据发行版安全公告应用相应的补丁版本:Debian:https://security-tracker.debian.org/tracker/CVE-2026-43503Ubuntu:https://ubuntu.com/security/CVE-2026-43503Fedora:https://bugzilla.redhat.com/show_bug.cgi?id=24809021.限制用户命名空间:如果业务允许,禁用非特权用户命名空间,防止普通用户获取 CAP_NET_ADMIN 能力。sysctl -w kernel.unprivileged_userns_clone=0
2.禁用相关模块:如果服务器不使用 IPsec 功能,可临时禁用或黑名单相关内核模块,阻断攻击路径。modprobe -r esp4 esp6 rxrpc
[1]https://git.kernel.org/stable/c/48f6a5356a33dd78e7144ae1faef95ffc990aae0
[2]https://research.jfrog.com/post/dissecting-and-exploiting-linux-lpe-variant-dirtyclone-cve-2026-43503/
2026年06月29日,奇安信 CERT发布安全风险通告。
致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。