Dirty Frag on äskettäin paljastettu Linux-ytimen haavoittuvuusketju, joka voi antaa paikalliselle, etuoikeutetulle käyttäjälle pääkäyttäjän oikeudet kyseisiin järjestelmiin. Ongelma vaikuttaa ytimen verkkokomponentteihin, jotka on sidottu ESP:hen ja RxRPC:hen, ja julkinen proof-of-concept-toiminta on jo lisännyt järjestelmänvalvojien kiireellisyyttä.
Kaksi virhettä on jäljitetty CVE-2026-43284 ja CVE-2026-43500. Ne voidaan ketjuttaa peukaloidakseen sivun välimuistin tietoja ja siirtyä matalan tason käyttöoikeuksista täydelliseen järjestelmän hallintaan.
Tämä ei ole etähyökkäys sinänsä. Hyökkääjä tarvitsee ensin paikallisen käyttöoikeuden, kuten vaarantuneen käyttäjätilin, verkkoliittymän, SSH-käytön tai säilön työkuorman, joka voi suorittaa koodia isännässä. Kun tämä jalansija on olemassa, Dirty Frag voi lisätä vahinkoa antamalla hyökkääjälle pääkäyttäjän oikeudet.
Mikä Dirty Frag on
Dirty Frag on Linuxin paikallinen oikeuksien eskalaatioongelma, jonka tietoturvatutkija Hyunwoo Kim havaitsi ja raportoi. Haavoittuvuusluokka toimii ketjuttamalla kaksi erillistä sivuvälimuistin kirjoitusvirhettä Linux-ytimeen.
Ensimmäinen virhe vaikuttaa IPsecin käyttämään ESP-tukeen, ja sitä seurataan nimellä CVE-2026-43284. Toinen vaikuttaa RxRPC:hen ja sitä seurataan nimellä CVE-2026-43500.
Nimessä on draakaa vertailua aikaisempiin Linuxin sivuvälimuistivirheisiinkuten Dirty Pipe ja Copy Fail. Samankaltaisuudella on merkitystä, koska nämä virheet voivat muuttaa sitä, mitä järjestelmä lukee suojatuista tiedostoista muistissa, vaikka hyökkääjällä ei pitäisi olla kirjoitusoikeutta näihin tiedostoihin.
Yhdellä silmäyksellä
| Tuote | Yksityiskohdat |
|---|---|
| Haavoittuvuuden nimi | Likainen Frag |
| CVE-tunnukset | CVE-2026-43284 ja CVE-2026-43500 |
| Haavoittuvuuden tyyppi | Linuxin paikallisten oikeuksien eskalointi |
| Päävaikutus | Paikallinen hyökkääjä voi saada pääkäyttäjän oikeudet |
| Vaikutusalueet | ESP, IPsec-liitännäiset moduulit ja RxRPC |
| Hyödynnä tila | Raportoitu julkinen proof-of-concept-toiminta |
Miksi vika on vakava
Likaisella Fragilla on merkitystä, koska paikallisten oikeuksien eskalaatiovirheitä ilmenee usein sen jälkeen, kun hyökkääjällä on jo rajoitettu jalansija. Pääkäyttäjän oikeuksilla hyökkääjä voi poistaa suojaustyökalut käytöstä, varastaa tunnistetietoja, muuttaa lokeja, asentaa pysyvyyttä ja siirtyä syvemmälle ympäristöön.
Microsoft sanoi, että Dirty Frag -sovellusta voidaan käyttää SSH-yhteyden, web-shell-suorituksen, säilön poistumisskenaarioiden tai vaarantuneen heikon tilin kautta tapahtuneen kompromissin jälkeen. Yhtiö sanoi myös, että ympäristöihin, joita tämä vaikuttaa, voivat olla Ubuntu-, RHEL-, CentOS Stream-, AlmaLinux-, Fedora-, openSUSE- ja OpenShift-asennukset.
Microsoft ilmoitti myös rajoitetusta luonnossa tapahtuvasta toiminnasta, johon liittyy oikeuksien eskalaatiomalleja, jotka voivat liittyä Dirty Frag- tai Copy Failiin. Tämä tekee ongelmasta kiireellisemmän kuin puhtaasti teoreettinen ydinvirhe.
Kuinka hyökkäys toimii korkealla tasolla
Dirty Frag -ketju tähtää siihen, miten Linux-ydin käsittelee tiettyjä muistin fragmentteja ja sivuvälimuistitietoja. Oikeissa olosuhteissa hyökkääjä voi saada suojattujen tiedostojen tiedot näyttämään muokatuilta muistissa kirjoittamatta suoraan levyllä olevaan tiedostoon.
CVE-2026-43284 vaikuttaa IPsecin käyttämiin ESP-polkuihin.Ubuntu kuvailee ongelmaatapaus, jossa jaettuja skb-fragmentteja voitiin muokata tekemättä ensin yksityistä kopiota.
CVE-2026-43500 vaikuttaa RxRPC:hen. Kun se on ketjutettu ESP-ongelman kanssa, se voi laajentaa järjestelmien määrää, joissa käyttöoikeuksien eskalointipolku voi toimia.
Vaikuttavat järjestelmät
Ubuntu sanoo, että haavoittuvuudet julkistettiin 7. toukokuuta 2026, ja ne vaikuttavat Linuxin ydinmoduuleihin. Sen ohjeissa luetellaan useitaUbuntu julkaistaan vaikutuksen mukaand, mukaan lukien 14,04 LTS, 16,04 LTS, 18,04 LTS, 20,04 LTS, 22,04 LTS, 24,04 LTS, 25,10 ja 26,04 LTS.
Red Hat julkaisi myös Dirty Frag -tietoturvatiedotteen ja sanoi, että käyttäjä, jolla on paikallinen tili, voi laukaista puutteet saadakseen pääkäyttäjän oikeudet. Red Hat viittaa ongelmaan nimellä Copy Fail 2, koska se on samankaltainen kuin aikaisempi Copy Fail -haavoittuvuus.
Turvatiimien ei pitäisi olettaa, että vain Internetiin päin olevilla palvelimilla on merkitystä. Kehittäjien työasemat, CI-ajot, kontit, Linux-työasemat, sisäiset palvelimet, pilvityökuormat ja WSL-tyyliset ympäristöt saattavat myös vaatia tarkistusta.
Korjauksen tila ja lieventäminen
Järjestelmänvalvojien tulee asentaa toimittajan toimittamat ydinpäivitykset heti, kun ne tulevat saataville heidän jakeluun ja ydinpaketteihinsa. Korjauksen ajoitus voi vaihdella toimittajan, ytimen maun, tukitason ja pilvikuvan mukaan.
Microsoft sanoi Linux-ytimen korjaustiedostot CVE-2026-43284:llejulkaistiin 8. toukokuuta 2026. Se sanoi myös, että CVE-2026-43500 oli vielä joissakin paikoissa vireillä tuolloin.
Ubuntu suosittelee väliaikaista lieventämistä, joka estää kyseisten moduulien lataamisen ja purkaa ne, jos ne ovat jo aktiivisia. Tämä voi vähentää altistumista, mutta se voi rikkoa järjestelmiä, jotka luottavat IPsec-, StrongSwan-, AFS- tai muuhun RxRPC-pohjaiseen työkuormaan.
Mitä järjestelmänvalvojien tulee tarkistaa
- Tunnista Linux-isännät, jotka sallivat paikallisten käyttäjien tai säilötyökuormien.
- Tarkista, onko ESP- ja RxRPC-moduulit ladattu.
- Tarkista kussakin järjestelmässä käytetyn tarkan ydinpaketin toimittajan neuvot.
- Ota ydinpäivitykset käyttöön, kun jakelusi julkaisee ne.
- Harkitse väliaikaista moduulin estämistä vasta sen jälkeen, kun olet tarkistanut IPsec- ja RxRPC-riippuvuudet.
- Tarkista viimeaikaiset etuoikeuksien eskalaatiohälytykset ja epäilyttävät juuritason toimet.
- Vahvista arkaluonteisten tiedostojen eheys, jos epäillään hyväksikäyttöä.
Miksi konttiympäristöt vaativat huomiota?
Säiliöympäristöt ansaitsevat erityistä huomiota, koska paikallisten käyttöoikeuksien eskalaatiovirheet voivat joskus auttaa hyökkääjiä siirtymään rajoitetusta työmäärästä tehokkaampaan asemaan isännässä.
Ubuntu sanoo, että käyttöönotot, jotka suorittavat mielivaltaisia kolmannen osapuolen työkuormia, voivat kohdata ylimääräisen kontin karkaamisen riskin, vaikka sen ohjeissa ei julkaistu julkista todistetta kontin pakosta.
Tämä tekee Dirty Fragista erityisen tärkeän isännöintipalveluntarjoajille, CI-alustoille, jaetuille kehitysjärjestelmille, pilvipalvelimille ja ympäristöille, jotka suorittavat epäluotettavaa työtaakkaa.
Mikä tekee Dirty Fragista erilaisen
Dirty Frag ei luota hauraaseen ajoituskilpailuun samalla tavalla kuin monet vanhemmat ytimen hyväksikäytöt. Raportit kuvailevat sitä luotettavammaksi kuin perinteiset kilpailutilanteen etuoikeuksien eskalaatiotekniikat.
Tämä luotettavuus lisää riskiä sen jälkeen, kun hyökkääjät pääsevät alkuun. Heikkokäyttöinen komentotulkki, jolla voisi muuten olla rajallinen arvo, voi tulla polku täydelliseen pääkäyttäjän hallintaan.
Julkinen konseptitodistus muuttaa myös aikajanaa. Puolustajien tulisi käsitellä ongelmaa sellaisena kuin hyökkääjät voivat testata nopeasti, erityisesti järjestelmissä, jotka ovat jäljessä ytimen päivityksistä.
Yhteenveto
- Dirty Frag on Linuxin paikallisten oikeuksien eskalaatiohaavoittuvuusketju.
- Kaksi virhettä on jäljitetty CVE-2026-43284 ja CVE-2026-43500.
- Hyökkääjä tarvitsee ensin paikallisen koodin suorittamisen, mutta ketju voi johtaa pääkäyttäjän oikeuksiin.
- Ubuntu, Red Hat, Fedora, AlmaLinux, CentOS Stream, openSUSE ja niihin liittyvät ympäristöt saattavat tarvita tarkistusta.
- Järjestelmänvalvojien tulee asentaa ytimen päivityksiä ja harkita toimittajan suosittelemia lievennyksiä, jos korjaustiedostoja ei ole vielä saatavilla.
FAQ
Mikä on Dirty Frag?
Dirty Frag on Linux-ytimen paikallisten oikeuksien eskalaatiohaavoittuvuusketju, jonka avulla paikalliset hyökkääjät voivat saada pääkäyttäjän oikeudet kyseisiin järjestelmiin.
Mitkä CVE:t liittyvät Dirty Fragiin?
Dirty Frag on linkitetty tiedostoihin CVE-2026-43284 ja CVE-2026-43500. Ensimmäinen vaikuttaa ESP:hen liittyviin ydinpolkuihin, kun taas toinen vaikuttaa RxRPC:hen.
Voidaanko Dirty Fragia hyödyntää etänä?
Dirty Frag ei ole sinänsä etäkäyttö. Hyökkääjä tarvitsee ensin paikallisen koodin suorittamisen vaarantuneen tilin, verkkoliittymän, SSH-käytön, säilön työkuorman tai muun jalansijan kautta.
Onko korjaustiedostoja saatavilla?
Korjauksen saatavuus riippuu Linux-jakelusta ja ydinpaketista. Järjestelmänvalvojien tulee tarkistaa toimittajien ohjeet ja asentaa uusimmat ytimen päivitykset järjestelmiinsä.