慢霧警報：Linux 高危提權漏洞，停用三模組緊急緩解

慢霧首席資訊安全官 23pds 於 5 月 8 日披露，Linux 系統存在名為 Dirty Frag 的嚴重權限提升漏洞，完整細節與利用代碼已被公開，任何本地低權限用戶可在無需特定系統條件的情況下，直接獲取受影響系統的 root 管理員權限。緊急緩解措施為停用 esp4、esp6 和 rxrpc 三個模組。

Dirty Frag 為何如此危險：邏輯漏洞、高成功率、無補丁

Dirty Frag 屬於確定性邏輯漏洞，而非依賴競爭條件的不穩定攻擊，這使其成功率極高且可穩定復現。攻擊者只需執行一個小程序，便可立即獲取目標系統的 root 權限，整個過程不會導致核心崩潰，極難被常規監控偵測。

漏洞於 4 月 30 日由安全研究人員向 Linux 核心團隊提交，但在修補工作尚未完成之前，一個「無關的第三方」提前洩露了詳細資訊及利用代碼，導致安全禁令被迫解除。安全社群普遍認為，這意味著惡意攻擊者可能已在主動利用此漏洞。

從技術原理看，Dirty Frag 與目前在 Linux 伺服器領域造成廣泛危害的 Copy Fail 漏洞機制類似，均透過將頁面快取描述符插入零拷貝操作中實施攻擊。根源漏洞「xfrm-ESP Page-Cache Write」由 2017 年的核心提交 cac2661c53f3 引入；由於 Ubuntu 的 AppArmor 修復了該漏洞，PoC 連結了第二個漏洞「RxRPC Page-Cache Write」（提交 2dc334f1a63a），確保攻擊在 Ubuntu 系統上同樣有效。

受影響範圍：已確認的主流 Linux 發行版清單

已確認受影響的 Linux 發行版（部分）：

· Ubuntu 24 和 Ubuntu 26（含 AppArmor，透過第二個漏洞繞過）

· Arch Linux（已更新版本亦確認受影響）

· RHEL（Red Hat Enterprise Linux）

· OpenSUSE

· CentOS Stream

· Fedora

· AlmaLinux

· CachyOS（核心版本 7.0.3-1-cachyos 已確認觸發）

· WSL2（Windows Subsystem for Linux）亦已確認受影響

緊急緩解措施：停用三個模組的具體命令

在官方補丁發布前，最有效的緩解方法是停用 esp4、esp6 和 rxrpc 三個模組。這三個模組均與 IPSec 網路功能相關，除非伺服器本身是 IPSec 用戶端或伺服器，否則停用後幾乎不影響正常業務。

執行以下命令即可完成模組停用：sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”

執行完成後，請密切追蹤各 Linux 發行版的安全公告，在官方補丁正式發布後立即部署系統更新。

常見問題

Dirty Frag 漏洞目前是否已有官方補丁？

截至目前，官方尚未發布任何補丁，Linux 主線核心也未見到修復提交。這是因為安全禁令在補丁準備完成前便被提前打破，導致漏洞細節在修復工作尚未完成的情況下公開。系統管理員應密切追蹤 Linux 發行版的安全公告，在補丁發布後立即部署。

停用 esp4、esp6 和 rxrpc 模組是否會影響伺服器正常業務？

這三個模組主要與 IPSec 協定相關。除非伺服器本身是 IPSec 用戶端或伺服器（即用於網路層加密通訊），否則停用這些模組幾乎不會影響 Web 服務、資料庫、加密節點等通用業務，是目前最安全、影響最小的緊急緩解方案。

為什麼這次漏洞在沒有補丁的情況下就被公開了？

業界慣例是「責任披露」——安全研究人員在向廠商提交漏洞後，通常等待補丁完成後才公開細節。此次漏洞於 4 月 30 日提交，但「無關的第三方」提前洩露了詳細資訊，打破了禁令。安全研究人員推測，惡意攻擊者可能已主動利用此漏洞，這也是禁令最終被解除的觸發原因。