DirtyCloneLinux内核漏洞可让本地用户获取Root权限

admin 2026-07-01 05:55:17 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: DirtyClone是Linux内核权限提升漏洞(CVE-2026-43503,CVSS8.8),属于DirtyFrag家族。该漏洞通过克隆数据包时丢弃SKBFLSHAREDFRAG标志,导致IPsec解密覆盖页缓存中特权文件,使本地用户无声获取root权限。影响Debian/Ubuntu/Fedora等系统,建议立即更新内核或禁用无特权用户命名空间缓解风险。 综合评分: 85 文章分类: 漏洞分析,威胁情报,漏洞预警,解决方案,安全建设


cover_image

DirtyClone Linux 内核漏洞可让本地用户获取 Root 权限

sec随谈 sec随谈

sec随谈

2026年6月29日 09:17 北京

在小说阅读器读本章

去阅读

摘要

DirtyClone 是一个 Linux 内核权限提升漏洞,编号为 CVE-2026-43503,CVSS 评分为 8.8。JFrog 安全研究团队发现了该漏洞,并于 6 月 25 日公布了一个可运行的漏洞利用演示。

影响为何重大

该漏洞可将任何无特权的本地账户变为 root。更糟糕的是,攻击过程悄无声息。它不向磁盘写入任何内容,也不留下内核日志或审计痕迹。因此,基于磁盘的完整性工具会完全无法察觉它。

其危险性在共享环境中达到顶峰。多租户云、Kubernetes 集群和容器主机都会向众多用户授予有限的访问权限。因此,一个本地立足点就可能危及整台机器。某些配置甚至可能允许容器逃逸。该漏洞无法被远程触发,但在这些场景中本地访问十分常见。

攻击如何实现

DirtyClone 属于 DirtyFrag 家族。这类漏洞利用了内核在页缓存(page-cache)内存与网络缓冲区之间共享内存的机制。Linux 为追求速度而采用零拷贝(zero-copy)网络技术,因此数据包可以指向现有内存,而无需进行复制。

一个名为 SKBFL_SHARED_FRAG 的安全标志用于标记引用文件支持页(file-backed pages)的缓冲区。当该标志被置位时,IPsec 会在解密前先复制数据。问题出现在数据包克隆过程中。辅助函数 __pskb_copy_fclone() 会丢弃该标志。因此,被克隆的数据包看起来是安全的,实则不然。

由此,攻击者将一个特权二进制文件(如 /usr/bin/su)映射到页缓存中。接着,一个被克隆的数据包会通过本地 IPsec 隧道传输。原位(in-place)解密会用攻击者选定的字节覆盖缓存中的二进制文件。该二进制文件下次运行时便会执行被篡改的代码,用户由此获得 root 权限。

JFrog 强调了更广泛的教训:问题并非出在某一个有缺陷的函数上。相反,每一条移动数据包片段的代码路径都必须保留共享片段(shared-frag)标志。只要遗漏一次,速度优化就会沦为写入原语(write primitive)。

DirtyFrag 家族的一员

DirtyFrag、Fragnesia 和 DirtyClone 是同属一系的”兄弟”漏洞,而非单一的攻击链。它们各自找到了一条不同的、会丢失共享片段标志的代码路径。最初的 DirtyFrag 修复为拼接的 UDP 数据包补上了该标志。随后的变种则表明,内核可能在其他地方丢失它。因此,JFrog 警告称,在每一条片段传输路径都经过审计之前,很可能还会出现更多变种。

受影响的版本

这一 Linux 内核权限提升漏洞影响众多现代发行版。JFrog 已在启用了无特权用户命名空间(unprivileged user namespaces)的 Debian、Ubuntu 和 Fedora 上确认了可用的攻击。Debian 和 Fedora 在默认情况下即存在漏洞。Ubuntu 24.04 及更高版本增加了 AppArmor 命名空间限制,但仍将该问题列为受影响项。

任何未应用完整 DirtyFrag 补丁链的内核都将持续暴露在风险中。该补丁链包括针对 CVE-2026-43284 和 CVE-2026-46300 的早期修复。简而言之,只有应用了整个系列的补丁,系统才算安全。

利用现状

在此次披露之前,不存在公开的概念验证(PoC)。6 月 25 日,JFrog 公布了针对该变种的首个可运行漏洞利用演示。不过,在各发行版发布补丁期间,该团队暂未公开完整的利用代码。目前尚未确认存在野外利用。

补丁与缓解措施

请立即更新你的内核。该修复已于 5 月 21 日合并入主线(commit 48f6a5356a33),并于 5 月 24 日首次随 Linux v7.1-rc5 发布,各厂商也已将其向后移植(backport)至稳定版和 LTS 分支。

请查阅你所用发行版的安全公告,并安装最新的内核构建版本。如果无法立即打补丁,可采取以下措施降低暴露风险:

  • 通过设置 kernel.unprivileged_userns_clone=0 来禁用无特权用户命名空间。
  • 如果你不使用 IPsec,将 esp4esp6 和 rxrpc 模块加入黑名单。
  • 打补丁后清空页缓存,以驱逐任何被篡改的页面。

完整的技术解析,请阅读 JFrog 的 DirtyClone 研究报告。

参考链接:

https://research.jfrog.com/post/dissecting-and-exploiting-linux-lpe-variant-dirtyclone-cve-2026-43503/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《DirtyClone Linux 内核漏洞可让本地用户获取 Root 权限》

评论:0   参与:  0