DirtyFrag:Linux史诗级通用提权漏洞链,全发行版沦陷

admin
admin
admin
0
文章
0
评论
2026-05-11 09:26:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: DirtyFrag是Linux内核本地提权漏洞链,包含xfrm-ESP和RxRPC两个漏洞,通过篡改只读文件页缓存实现一键提权。漏洞影响2017年以来的几乎所有主流Linux发行版,利用无需竞争条件且成功率接近100%。目前无官方补丁,建议通过禁用内核模块临时缓解。 综合评分: 86 文章分类: 漏洞分析,应急响应,威胁情报,漏洞预警,Linux安全

cover_image

Dirty Frag:Linux 史诗级通用提权漏洞链,全发行版沦陷

原创

MobSec MobSec

莫白AI安全团队

2026年5月8日 11:22 天津

在小说阅读器读本章

去阅读

继 Dirty Pipe、Copy Fail 之后,Linux 内核再曝致命本地提权漏洞家族 Dirty Frag。该漏洞由安全研究员 Hyunwoo Kim(@v4bel)发现并公开 PoC,通过双内核漏洞链式利用,可在几乎所有主流 Linux 发行版上将普通用户一键提升为 root,且无需竞争条件、不挑环境、成功率接近 100%

更危险的是:因披露禁令被提前打破,目前全平台无官方补丁、无 CVE 编号,只能通过禁用内核模块临时缓解。

一、漏洞核心概况

  • • 漏洞名称:Dirty Frag(Universal Linux LPE)
  • • 漏洞类型:Linux 内核本地提权(LPE)
  • • 危害等级超临界
  • • 利用条件:本地普通用户权限
  • • 利用难度:极低(一行命令提权)
  • • 是否需要竞争不需要(纯逻辑漏洞)
  • • 失败影响不宕机、不内核崩溃
  • • 公开状态:PoC 已完全开源(GitHub 已发布 exp.c)

二、为什么叫 Dirty Frag?

它属于 Dirty Pipe / Copy Fail 同一系列漏洞家族:

通过破坏内核 sk_buff(网络套接字缓冲区)的 frag 页片段管理,篡改只读文件的页缓存(Page Cache),实现无权限写文件、进而提权。

名字中的 Frag 直接指向漏洞根源:skb 片段页缓存写异常

三、两条致命漏洞链(互补覆盖全平台)

Dirty Frag 不是单个漏洞,而是两条漏洞互补联动,实现 “全发行版通杀”。

1. xfrm-ESP Page-Cache Write(2017 年引入,潜伏 9 年)

  • • 引入时间:2017-01-17(commit cac2661c53f3)
  • • 位置:IPsec ESP 模块(esp4/esp6)
  • • 能力:任意 4 字节内存写
  • • 限制:需要创建用户命名空间
  • • 影响:99% Linux 默认开启

2. RxRPC Page-Cache Write(2023 年引入)

  • • 引入时间:2023-06(commit 2dc334f1a63a)
  • • 位置:RxRPC 网络模块
  • • 能力:页缓存原地改写
  • • 限制:无需命名空间
  • • 特点:Ubuntu 默认加载,专治 AppArmor 限制

链式逻辑(1+1>2)

  • • xfrm 覆盖大部分系统

  • • RxRPC 覆盖 Ubuntu 等被限制环境

    组合后实现真正全平台通杀

四、技术原理(极简版)

  1. 1. 利用 零拷贝(zero-copy) 机制,将只读文件页缓存映射到 skb 片段
  2. 2. 内核在解密流程中对只读页执行原地改写
  3. 3. 攻击者可控改写内容
  4. 4. 篡改 /etc/passwd、suid 程序等,直接获得 root

关键点:

只读页 → 进入网络缓冲区 → 被内核加密操作改写 → 提权

五、影响范围(几乎所有现代 Linux)

受影响内核版本

  • • xfrm-ESP:2017.1 ~ 最新主线内核
  • • RxRPC:2023.6 ~ 最新主线内核

已验证可提权发行版

  • • Ubuntu 24.04.4
  • • RHEL 10.1
  • • CentOS Stream 10
  • • AlmaLinux 10
  • • Fedora 44
  • • openSUSE Tumbleweed
  • • 内核版本最高至 7.0.x

关键特性:无视 Copy Fail 防护

即使你已修复 Copy Fail(黑名单 algif_aead),依然会被 Dirty Frag 击穿

两者利用路径完全独立。

六、一键提权命令(PoC 已公开)

git clone https://github.com/V4bel/dirtyfrag.git
cd dirtyfrag
gcc -O0 -Wall -o exp exp.c -lutil
./exp

执行即获得 root shell

七、官方现状:无补丁、无 CVE

披露禁令被第三方破坏,漏洞被迫提前公开。

截至目前:

  • • 无任何官方补丁
  • • 无 CVE 编号
  • • 所有发行版均处于裸奔状态。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:莫白AI安全团队 MobSec MobSec《Dirty Frag:Linux 史诗级通用提权漏洞链,全发行版沦陷》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0