新 Linux “Dirty Frag” 零日漏洞可在所有主流发行版上获取 root 权限

Source: Bleeping Computer

概览

一种新的 Linux 零日漏洞 Dirty Frag 允许本地攻击者仅通过一条命令在大多数主流 Linux 发行版上获取 root 权限。安全研究员 Hyunwoo Kim 于 2026 年 5 月 7 日披露了该缺陷并发布了概念验证（PoC）利用代码。该漏洞大约在九年前通过 Linux 内核的 algif_aead 加密算法接口引入。

技术细节

Dirty Frag 通过链式利用两个独立的内核缺陷实现：

• xfrm‑ESP 页面缓存写入 漏洞
• RxRPC 页面缓存写入 漏洞

利用这两者，攻击者可以在内存中未授权地修改受保护的系统文件，从而实现特权提升。利用代码针对内核数据结构的 fragment 字段，将其归类于早前的 Dirty Pipe 与 Copy Fail 漏洞，但使用了不同的攻击向量。

该漏洞尚未分配 CVE‑ID，影响范围广泛，包括 Ubuntu、Red Hat Enterprise Linux、CentOS Stream、AlmaLinux、openSUSE Tumbleweed 和 Fedora 等发行版，且在撰写本文时均未发布补丁。

“与之前的 Copy Fail 漏洞一样，Dirty Frag 同样能够在所有主流发行版上立即实现 root 权限提升，并且它链式利用了两个独立的漏洞，” – Hyunwoo Kim。

“由于它是一个确定性的逻辑错误，不依赖于时间窗口，无需竞争条件，内核在利用失败时不会崩溃，成功率非常高。” – Hyunwoo Kim。

Dirty Frag 演示（Hyunwoo Kim）

Kim 在 2026 年 5 月 7 日的完整公开披露禁令被突破后，发布了完整文档和 PoC 利用代码，当时另一无关第三方已独立公布了该利用。

缓解措施

为降低攻击面，Linux 用户可以禁用有漏洞的 esp4、esp6 和 rxrpc 内核模块。注意： 这将导致 IPsec VPN 和 AFS 分布式网络文件系统失效。

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

更多缓解步骤，请参见 Dirty Frag GitHub 仓库。

背景与相关漏洞

• Copy Fail – 另一种正在被积极利用的 root 权限提升漏洞。该漏洞已于 2026 年 5 月初被列入 CISA 已知被利用漏洞（KEV）目录，促使联邦机构在 5 月 15 日前采取缓解措施。
• Pack2TheRoot – PackageKit 守护进程中的另一个特权提升漏洞，已在 2026 年 4 月修补。

参考资料

• 披露公告: https://www.openwall.com/lists/oss-security/2026/05/07/8
• PoC 利用推文: https://x.com/v4bel/status/2052464007857185136
• Dirty Frag 仓库: https://github.com/V4bel/dirtyfrag
• 受影响版本列表: https://github.com/V4bel/dirtyfrag#affected-versions
• 缓解说明: https://github.com/V4bel/dirtyfrag#mitigation
• Copy Fail KEV 条目（CISA）: https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalog
• Pack2TheRoot 报道: https://www.bleepingcomputer.com/news/security/new-pack2theroot-flaw-gives-hackers-root-linux-access/