韩国安全研究员 Hyunwoo Kim(@v4bel)于北京时间 5 月 8 日凌晨在 oss-security 邮件列表正式披露 Linux 内核本地提权(LPE)漏洞 Dirty Frag,同步发布概念验证(PoC)利用代码。该漏洞通过链式组合两个独立缺陷实现普通用户一步提权至 root:其一为 xfrm-ESP Page-Cache Write,利用 IPsec ESP 快速解密路径在 splice()/sendfile() 注入的外部页面上直接操作,提供强力的任意 4 字节写原语;其二为 RxRPC Page-Cache Write,无需命名空间创建权限。两者互补盲区——前者可绕过 Ubuntu 的 AppArmor 限制,后者则针对默认加载 rxrpc.ko 的 Ubuntu 环境——组合后可在所有主流发行版上实现完整利用。该漏洞属于 Dirty Pipe(CVE-2022-0847)与 Copy Fail(CVE-2026-31431)同类缺陷的延伸,为确定性逻辑漏洞,无需竞争条件,失败时内核不崩溃,成功率极高。xfrm-ESP 漏洞影响范围可追溯至 2017 年 1 月(Linux 4.14 前后),存续近 9 年;受影响发行版涵盖 Ubuntu 18.04–24.04、RHEL/AlmaLinux 8–10、Fedora 44、openSUSE Tumbleweed、CentOS Stream 10、Debian 10–13 等全线主流版本。
本次披露属于禁令被破后的被动公开:Kim 原定于 5 月 12 日协调性披露,但不明第三方提前泄露,迫使其在 linux-distros 维护者建议下提前发布完整信息。目前尚无任何发行版的官方补丁,亦未分配 CVE 编号;上游内核已有针对 ESP 的修复提交进入 netdev 树,rxrpc 补丁亦在 netdev 邮件列表流转,AlmaLinux 已率先发布测试版修复内核。临时缓解措施为卸载并禁用 esp4、esp6、rxrpc 三个内核模块,但将导致 IPsec 与 kAFS 功能失效,不适用于依赖这些功能的生产环境。
GitHub | LWN.net | AlmaLinux
https://github.com/V4bel/dirtyfrag
https://lwn.net/Articles/1071719/
https://almalinux.org/blog/2026-05-07-dirty-frag/