【漏洞修复通知】Linux Kernel "Dirty Frag" 本地权限提升漏洞风险请尽快升级系统
受到已知漏洞(CVE-2026-43284)影响:
建议使用 debian11 , debian12 ,的用户尽快升级系统内核。
其他受影响的操作系统:
Ubuntu 24.04.4
Red Hat Enterprise linux 10
CentOS 10
Almalinux 10
Fedora 44
openSUSE Tumbleweed
以下是 debian 的处理方法:
sudo apt update && sudo apt full-upgrade -y
# 2. 清洗可能受污染的内存页面缓存
sudo sync && echo 3 | sudo tee /proc/sys/vm/drop_caches
# 3. 重启服务器以应用新内核
sudo reboot
如果提示 sudo命令无效,则输入这个安装 sudo 后,在升级内核
apt update && apt install sudo -y
操作系统:centos7 目前尚未清楚是否受影响,官方也不在提供新的维护支持,用户担心的可以用以下方法解决。
(1) 将 esp4、esp6、rxrpc 三个模块加入 modprobe 黑名单,阻止自动加载,并立即卸载已加载的模块(如果当前未被使用)
输入命令:sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf" sudo rmmod esp4 esp6 rxrpc 2>/dev/null ||true
注:该缓解措施可能会中断 IPsec(VPN)和 RxRPC(AFS 文件系统),请根据实际业务情况评估。 同时,建议在未运行过漏洞 EXP 的机器上执行该缓解措施,否则可能会存在缓解措施失效的情况。
排查方法
检查模块是否已加载 lsmod | grep -E 'esp4|esp6|rxrpc'
检查模块是否为内置(决定缓解措施中的 modprobe 黑名单是否有效)
grep -E 'CONFIG_INET_ESP|CONFIG_RXRPC' /boot/config-$(uname -r)
#=y 为内置,黑名单无效;=m 为模块,黑名单有效
检查 User Namespace 是否允许(影响 ESP 变体)
cat /proc/sys/kernel/unprivileged_userns_clone
#1 = 允许(ESP 变体可能可利用);0 = 阻止
