文章总结： DirtyFrag漏洞通过结合xfrm-ESP和RxRPC页面缓存写入漏洞实现在主流Linux发行版上的root权限提权。该漏洞无需竞争条件且成功率极高，影响周期约9年，已在Ubuntu、RHEL等6个发行版验证。利用策略需根据环境选择命名空间创建权限或默认加载模块进行组合攻击。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,Linux安全,渗透测试,红队

Copy Fail 延伸 Dirty Frag 提权漏洞

Khan安全团队

2026年5月8日 13:20 海南

在小说阅读器读本章

去阅读

它可以通过链接 xfrm-ESP Page-Cache Write 漏洞和 RxRPC Page-Cache Write 漏洞，在主要的 Linux 发行版上获得 root 权限。

Dirty Frag 漏洞扩展了 Dirty Pipe 和 Copy Fail 漏洞所属的漏洞类别。由于它是一个确定性逻辑漏洞，不依赖于特定的时间窗口，因此无需竞争条件，即使利用失败，内核也不会崩溃，并且成功率非常高。

受影响版本

xfrm-ESP 页面缓存写入漏洞的范围从 cac2661c53f3 (2017-01-17) 到上游，RxRPC 页面缓存写入漏洞的范围从 2dc334f1a63a (2023-06) 到上游。

换句话说，这些漏洞的有效寿命约为 9 年。此脏碎片已在以下发行版本上测试过。

• Ubuntu 24.04.4：6.17.0-23-通用
• RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64
• openSUSE Tumbleweed：7.0.2-1-default
• CentOS Stream 10：6.12.0-224.el10.x86_64
• AlmaLinux 10：6.12.0-124.52.3.el10_1.x86_64
• Fedora 44：6.19.14-300.fc44.x86_64

xfrm-ESP Page-Cache Write 提供了一个强大的任意 4 字节 STORE 原语，例如 Copy Fail，并且包含在大多数发行版中，但它需要创建命名空间的权限。

Ubuntu 有时会通过 AppArmor 策略阻止非特权用户创建命名空间。在这种环境下，xfrm-ESP Page-Cache Write 无法触发。RxRPC Page-Cache Write 创建命名空间不需要特权，但rxrpc.ko大多数发行版并未包含该模块。不过，在 Ubuntu 上，该rxrpc.ko模块默认加载。

将这两种方法结合起来，可以相互弥补漏洞，从而在所有主流发行版上获取 root 权限。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《Copy Fail 延伸 Dirty Frag 提权漏洞》