文章总结: DirtyClone是Linux内核权限提升漏洞(CVE-2026-43503,CVSS8.8),属于DirtyFrag家族。该漏洞通过克隆数据包时丢弃SKBFLSHAREDFRAG标志,导致IPsec解密覆盖页缓存中特权文件,使本地用户无声获取root权限。影响Debian/Ubuntu/Fedora等系统,建议立即更新内核或禁用无特权用户命名空间缓解风险。 综合评分: 85 文章分类: 漏洞分析,威胁情报,漏洞预警,解决方案,安全建设
DirtyClone Linux 内核漏洞可让本地用户获取 Root 权限
sec随谈 sec随谈
sec随谈
2026年6月29日 09:17 北京
在小说阅读器读本章
去阅读
摘要
DirtyClone 是一个 Linux 内核权限提升漏洞,编号为 CVE-2026-43503,CVSS 评分为 8.8。JFrog 安全研究团队发现了该漏洞,并于 6 月 25 日公布了一个可运行的漏洞利用演示。
影响为何重大
该漏洞可将任何无特权的本地账户变为 root。更糟糕的是,攻击过程悄无声息。它不向磁盘写入任何内容,也不留下内核日志或审计痕迹。因此,基于磁盘的完整性工具会完全无法察觉它。
其危险性在共享环境中达到顶峰。多租户云、Kubernetes 集群和容器主机都会向众多用户授予有限的访问权限。因此,一个本地立足点就可能危及整台机器。某些配置甚至可能允许容器逃逸。该漏洞无法被远程触发,但在这些场景中本地访问十分常见。
攻击如何实现
DirtyClone 属于 DirtyFrag 家族。这类漏洞利用了内核在页缓存(page-cache)内存与网络缓冲区之间共享内存的机制。Linux 为追求速度而采用零拷贝(zero-copy)网络技术,因此数据包可以指向现有内存,而无需进行复制。
一个名为 SKBFL_SHARED_FRAG 的安全标志用于标记引用文件支持页(file-backed pages)的缓冲区。当该标志被置位时,IPsec 会在解密前先复制数据。问题出现在数据包克隆过程中。辅助函数 __pskb_copy_fclone() 会丢弃该标志。因此,被克隆的数据包看起来是安全的,实则不然。
由此,攻击者将一个特权二进制文件(如 /usr/bin/su)映射到页缓存中。接着,一个被克隆的数据包会通过本地 IPsec 隧道传输。原位(in-place)解密会用攻击者选定的字节覆盖缓存中的二进制文件。该二进制文件下次运行时便会执行被篡改的代码,用户由此获得 root 权限。
JFrog 强调了更广泛的教训:问题并非出在某一个有缺陷的函数上。相反,每一条移动数据包片段的代码路径都必须保留共享片段(shared-frag)标志。只要遗漏一次,速度优化就会沦为写入原语(write primitive)。
DirtyFrag 家族的一员
DirtyFrag、Fragnesia 和 DirtyClone 是同属一系的”兄弟”漏洞,而非单一的攻击链。它们各自找到了一条不同的、会丢失共享片段标志的代码路径。最初的 DirtyFrag 修复为拼接的 UDP 数据包补上了该标志。随后的变种则表明,内核可能在其他地方丢失它。因此,JFrog 警告称,在每一条片段传输路径都经过审计之前,很可能还会出现更多变种。
受影响的版本
这一 Linux 内核权限提升漏洞影响众多现代发行版。JFrog 已在启用了无特权用户命名空间(unprivileged user namespaces)的 Debian、Ubuntu 和 Fedora 上确认了可用的攻击。Debian 和 Fedora 在默认情况下即存在漏洞。Ubuntu 24.04 及更高版本增加了 AppArmor 命名空间限制,但仍将该问题列为受影响项。
任何未应用完整 DirtyFrag 补丁链的内核都将持续暴露在风险中。该补丁链包括针对 CVE-2026-43284 和 CVE-2026-46300 的早期修复。简而言之,只有应用了整个系列的补丁,系统才算安全。
利用现状
在此次披露之前,不存在公开的概念验证(PoC)。6 月 25 日,JFrog 公布了针对该变种的首个可运行漏洞利用演示。不过,在各发行版发布补丁期间,该团队暂未公开完整的利用代码。目前尚未确认存在野外利用。
补丁与缓解措施
请立即更新你的内核。该修复已于 5 月 21 日合并入主线(commit 48f6a5356a33),并于 5 月 24 日首次随 Linux v7.1-rc5 发布,各厂商也已将其向后移植(backport)至稳定版和 LTS 分支。
请查阅你所用发行版的安全公告,并安装最新的内核构建版本。如果无法立即打补丁,可采取以下措施降低暴露风险:
- 通过设置
kernel.unprivileged_userns_clone=0来禁用无特权用户命名空间。 - 如果你不使用 IPsec,将
esp4、esp6和rxrpc模块加入黑名单。 - 打补丁后清空页缓存,以驱逐任何被篡改的页面。
完整的技术解析,请阅读 JFrog 的 DirtyClone 研究报告。
参考链接:
https://research.jfrog.com/post/dissecting-and-exploiting-linux-lpe-variant-dirtyclone-cve-2026-43503/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《DirtyClone Linux 内核漏洞可让本地用户获取 Root 权限》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论