慢雾警报:Linux 高危提權漏洞,停用三模組緊急緩解
慢雾首席资訊安全官 23pds 於 5 月 8 日披露,Linux 系统存在名为 Dirty Frag 的嚴重權限提升漏洞,完整細節与利用代碼已被公开,任何本地低權限用戶可在无需特定系统條件的情況下,直接獲取受影響系统的 root 管理員權限。緊急緩解措施为停用 esp4、esp6 和 rxrpc 三个模組。
Dirty Frag 为何如此危险:逻辑漏洞、高成功率、无補丁
Dirty Frag 屬於確定性逻辑漏洞,而非依賴競爭條件的不穩定攻擊,这使其成功率極高且可穩定復现。攻擊者只需執行一个小程序,便可立即獲取目標系统的 root 權限,整个过程不会導致核心崩潰,極难被常規監控偵測。
漏洞於 4 月 30 日由安全研究人員向 Linux 核心團队提交,但在修補工作尚未完成之前,一个「无关的第三方」提前洩露了詳細资訊及利用代碼,導致安全禁令被迫解除。安全社群普遍认为,这意味著惡意攻擊者可能已在主动利用此漏洞。
从技術原理看,Dirty Frag 与目前在 Linux 伺服器领域造成廣泛危害的 Copy Fail 漏洞机制類似,均透过將頁面快取描述符插入零拷貝操作中实施攻擊。根源漏洞「xfrm-ESP Page-Cache Write」由 2017 年的核心提交 cac2661c53f3 引入;由於 Ubuntu 的 AppArmor 修復了該漏洞,PoC 连結了第二个漏洞「RxRPC Page-Cache Write」(提交 2dc334f1a63a),確保攻擊在 Ubuntu 系统上同樣有效。
受影響範圍:已確认的主流 Linux 发行版清單
已確认受影響的 Linux 发行版(部分):
· Ubuntu 24 和 Ubuntu 26(含 AppArmor,透过第二个漏洞繞过)
· Arch Linux(已更新版本亦確认受影響)
· RHEL(Red Hat Enterprise Linux)
· OpenSUSE
· CentOS Stream
· Fedora
· AlmaLinux
· CachyOS(核心版本 7.0.3-1-cachyos 已確认觸发)
· WSL2(Windows Subsystem for Linux)亦已確认受影響
緊急緩解措施:停用三个模組的具體命令
在官方補丁发布前,最有效的緩解方法是停用 esp4、esp6 和 rxrpc 三个模組。这三个模組均与 IPSec 網路功能相关,除非伺服器本身是 IPSec 用戶端或伺服器,否則停用后幾乎不影響正常业務。
執行以下命令即可完成模組停用:sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”
執行完成后,请密切追蹤各 Linux 发行版的安全公告,在官方補丁正式发布后立即部署系统更新。
常见问題
Dirty Frag 漏洞目前是否已有官方補丁?
截至目前,官方尚未发布任何補丁,Linux 主線核心也未见到修復提交。这是因为安全禁令在補丁準備完成前便被提前打破,導致漏洞細節在修復工作尚未完成的情況下公开。系统管理員应密切追蹤 Linux 发行版的安全公告,在補丁发布后立即部署。
停用 esp4、esp6 和 rxrpc 模組是否会影響伺服器正常业務?
这三个模組主要与 IPSec 協定相关。除非伺服器本身是 IPSec 用戶端或伺服器(即用於網路層加密通訊),否則停用这些模組幾乎不会影響 Web 服務、资料庫、加密節点等通用业務,是目前最安全、影響最小的緊急緩解方案。
为什麼这次漏洞在沒有補丁的情況下就被公开了?
业界慣例是「责任披露」——安全研究人員在向廠商提交漏洞后,通常等待補丁完成后才公开細節。此次漏洞於 4 月 30 日提交,但「无关的第三方」提前洩露了詳細资訊,打破了禁令。安全研究人員推測,惡意攻擊者可能已主动利用此漏洞,这也是禁令最終被解除的觸发原因。