近日，Linux内核中被披露存在一个高危本地权限提升漏洞（代号：Dirty Frag，暂无CVE编号）。该漏洞由韩国安全研究员 Hyunwoo Kim发现，是此前Copy Fail（CVE-2026-31431）漏洞的同类延续，均为内核零拷贝路径页缓存写入缺陷，目前漏洞完整利用代码（PoC/EXP）已公开，可在几乎所有主流Linux发行版上实现稳定、确定性提权，云服务器、容器宿主机、多租户环境面临极高安全风险。

一、风险详情

1. 漏洞成因

该漏洞源于Linux内核中xfrm‑ESP（2017年起引入）与RxRPC（2023年6月起引入）两个独立模块的逻辑缺陷。攻击者通过splice(）等零拷贝系统调用，污染sk_buff的frag成员，实现对系统文件页缓存的非法写入，最终完成本地权限提升。

2. 漏洞特征

稳定可利用：无需条件竞争，利用过程不触发系统崩溃，提权成功率高。

同根同源缺陷：与Copy Fail同属内核零拷贝路径页缓存写入类漏洞，利用逻辑相似。

影响面极广：覆盖2017年以来大量上游内核与主流发行版，POC/EXP已公开，极易被批量利用。

二、风险危害

1. 本地权限提升

无特权本地普通用户可利用该漏洞直接篡改关键系统文件页缓存，获取root最高权限。

2. 容器逃逸与跨租户攻击

容器内攻击者可借助页缓存共享特性，突破容器隔离，逃逸至宿主机并接管Kubernetes节点或物理主机。

3. 多场景高危威胁

对多用户共享主机、开发机、CI/CD执行器、Serverless等多租户云环境造成跨隔离边界的严重威胁。

三、受影响范围

1. 内核影响区间

xfrm‑ESP页缓存写入：2017年至今所有上游内核

RxRPC页缓存写入：2023年6月至今所有上游内核

2. 已知受影响发行版（含内核版本）

Ubuntu 24.04.4(6.17.0‑23‑generic)

RHEL 10.1(6.12.0‑124.49.1.el10_1.x86_64)

openSUSE Tumbleweed(7.0.2‑1‑default)

CentOS Stream 10(6.12.0‑224.el10.x86_64)

AlmaLinux 10(6.12.0‑124.52.3.el10_1.x86_64)

Fedora 44(6.19.14‑300.fc44.x86_64)

3. 不受影响版本

官方暂未明确公布不受影响版本，以厂商后续安全补丁与公告为准。

四、排查方法

1. 内核版本自查

执行命令查看当前内核版本，对照上述受影响清单判断风险：

2. 内核模块排查

检查系统是否加载esp4/esp6/rxrpc漏洞关联模块：

五、处置与修复建议

1. 内核更新（官方推荐）

截至2026年5月8日，Linux官方与各发行版厂商暂未发布正式安全补丁。请持续关注厂商安全公告，补丁发布后立即升级内核并重启系统。

2. 临时缓解措施（禁用漏洞关联模块）

以root权限执行以下命令，永久禁用漏洞关联模块并清理缓存：

若模块为内核内置无法卸载，建议优先升级内核；或通过Grub内核参数屏蔽对应模块初始化入口。

禁用上述模块不影响SSH、IPsec、dm‑crypt/LUKS等常规加密与网络服务，仅极少数依赖RxRPC/ESP自定义业务可能受影响。

3. 容器环境加固

对运行不可信负载的容器/K8s集群，通过Seccomp策略阻断容器内splice(）等关联零拷贝系统调用，降低逃逸风险。

六、 外部参考

1. 奇安信威胁情报中心：https://ti.qianxin.com/vulnerability/notice-detail/1824

2. OSS‑SEC官方邮件列表：https://www.openwall.com/lists/oss-security/2026/05/07/8

3. 漏洞POC仓库：https://github.com/V4bel/dirtyfrag

如有任何疑问，请与资讯科技与数据智能处<gzit@hkust-gz.edu.cn>联系。

资讯科技与数据智能处