“脏碎片”(CVE-2026-43284):八天内第二次 Linux Root 漏洞利用
一句话看懂:2026年5月7日,名为“Dirty Frag”的Linux内核漏洞被公开,它组合利用两个内核缺陷(CVE-2026-43284和CVE-2026-43500),允许攻击者在服务器上获得root权限。这是继4月29日“Copy Fail”漏洞后八天内第二次出现的同类高危缺陷。
事件核心:发生了什么
安全研究员Hyunwoo Kim公开披露了“Dirty Frag”漏洞。该漏洞链组合了CVE-2026-43284(已修复)和CVE-2026-43500(分发修复中)。CVE-2026-43284的根因在于Linux内核处理IPsec/ESP网络数据包内存时的一个逻辑缺陷:当MSG_SPLICE_PAGES将管道的页面直接附加到网络缓冲区(skb)时,IPv4/IPv6数据报路径未将这些页面标记为“共享”,导致ESP解密在内核不拥有的内存上进行,攻击者可实现内核页缓存写入,从而提权至root。与依赖竞态条件的DirtyPipe不同,Dirty Frag是一个确定性逻辑漏洞,成功率高且几乎不引发内核崩溃。受影响的内核版本自2017年左右起的所有主流Linux发行版,包括RHEL、AlmaLinux、Debian、Ubuntu、Fedora、Arch Linux、CentOS、CloudLinux和Amazon Linux。截至5月8日,补丁内核已在生产仓库中可用。
为什么重要
“Dirty Frag”的重要性体现在两个层面:首先,它标志着一种可利用的、确定性的内核提权攻击模式正在被重复发现。继“Copy Fail”利用用户态加密路径后,“Dirty Frag”通过IPsec接收路径实现了类似的页缓存写原语,安全社区已开始称其为“Copy Fail 2.0”。这迫使Linux发行版和服务器运营商重新审视长寿命的处理优化(如就地解密)可能带来的根本安全风险。其次,该漏洞在Web托管环境中的威胁尤为直接:攻击者无需远程突破,一旦通过插件、弱凭据或容器等途径进入系统,即可立即提权为root,进而关闭安全工具、窃取凭据、篡改日志或横向移动。在共享托管服务器上,一个受感染账户可能演变为整个服务器的失陷。
对用户/开发者/创作者的影响
对于服务器运维人员和企业用户,影响是立即且具体的:必须将补丁内核更新视为优先级最高的操作。补丁已于5月8日投递到各发行版的生产仓库,完成安装并重启是关键防护措施。如果无法立即重启,可临时卸载包含漏洞的内核模块(esp4和esp6),但必须确认服务器未使用IPsec VPN隧道或Kubernetes网络策略,否则会中断这些连接。对于普通用户和创作者,影响相对间接:如果使用的网站托管服务商未及时打补丁,个人站点数据存在被篡改或泄露的风险。建议确认服务商已完成内核算更新。
值得关注的后续
第一,关注各Linux发行版对CVE-2026-43500的修复进度,以及是否会出现基于该漏洞链的公开武器化利用代码。第二,观察共享托管服务商(如CloudLinux、AlmaLinux相关环境)的应急响应速度和用户通知透明度。第三,留意Linux内核社区是否会对“就地处理优化”中的内存信任模型进行系统性审计,从而遏制此类“页缓存写原语”攻击模式的进一步扩散。
