文章总结： DirtyFrag是影响主流Linux的本地提权漏洞链，由xfrm-ESP与RxRPC两个Page-Cache写入漏洞互补组成。该漏洞存在超9年，具有确定性高、无需竞争条件的特点，且能完全绕过CopyFail的缓解措施。目前暂无官方补丁，建议立即通过modprobe配置禁用esp4、esp6及rxrpc内核模块进行临时缓解，普通服务器影响较小，但依赖IPsec的环境需谨慎评估。 综合评分： 93 文章分类： 漏洞预警,漏洞分析,漏洞POC

Dirty Frag：Copy Fail的继任者，即使打了补丁你的Linux仍然危险

黑客茶话会

2026年5月8日 10:33 山东

在小说阅读器读本章

去阅读

CRITICAL VULNERABILITY

Dirty Frag：Copy Fail 的继任者

即使打了补丁，你的 Linux 仍然危险

就在几天前，我们还在讨论 CVE-2026-31431（Copy Fail）漏洞的紧急修复方案。

但安全研究员 Hyunwoo Kim（@v4bel）今天扔下了一颗更大的炸弹：

Dirty Frag 漏洞链——一个几乎影响所有主流 Linux 发行版的本地提权漏洞，而且即使你已经应用了 Copy Fail 的缓解措施，仍然会被攻击。

⚠ 关键警告：Copy Fail 的缓解措施对 Dirty Frag 无效

Copy Fail 漏洞的研究启发了 Dirty Frag 的发现。具体来说，Dirty Frag 漏洞链中的 xfrm-ESP Page-Cache Write 漏洞与 Copy Fail 漏洞共享同一个攻击目标（sink）。

但是——无论 algif_aead 模块是否可用，该漏洞都会被触发。

换句话说：即使你在系统上应用了公开已知的 Copy Fail 缓解措施（algif_aead 黑名单），你的 Linux 系统仍然容易受到 Dirty Frag 漏洞的攻击。

🎯 漏洞原理：双漏洞链组合攻击

Dirty Frag 是一个漏洞链，由两个独立的 Page-Cache Write 漏洞组合而成：

1. xfrm-ESP Page-Cache Write 漏洞

• 存在时间：2017年1月至今（约9年）
• 提供强大的任意4字节写入原语（类似 Copy Fail）
• 大多数发行版默认包含，但需要创建非特权用户命名空间
• Ubuntu 的 AppArmor 会拦截此操作

2. RxRPC Page-Cache Write 漏洞

• 存在时间：2023年6月至今
• 不需要创建命名空间权限
• 但 rxrpc.ko 模块在大多数发行版中默认不包含
• Ubuntu 默认加载该模块

💡 为什么是”双漏洞链”？

两个漏洞互为补充，覆盖所有主流发行版的盲点：

• xfrm-ESP 在 Ubuntu 上可能被 AppArmor 拦截
• RxRPC 在 Ubuntu 上默认可用，但在其他发行版上不可用

通过组合这两个漏洞，攻击者可以在所有主流 Linux 发行版上实现本地提权。

🎯 影响范围

✅ Ubuntu 24.04.4 (内核 6.17.0-23-generic) ✅ RHEL 10.1 (内核 6.12.0-124.49.1) ✅ openSUSE Tumbleweed (内核 7.0.2-1) ✅ CentOS Stream 10 (内核 6.12.0-224) ✅ AlmaLinux 10 (内核 6.12.0-124.52.3) ✅ Fedora 44 (内核 6.19.14-300)

影响时间跨度：2017年1月至今（约9年）

⚠ 漏洞特性：比 Copy Fail 更危险

Dirty Frag 属于 Dirty Pipe / Copy Fail 同一 bug class 的扩展：

• 确定性逻辑漏洞：不依赖时间窗口，无需竞争条件
• 失败不会 panic：内核不会崩溃，可以重试
• 成功率极高：首次尝试即可成功提权
• 无需文件写权限：利用页缓存机制直接覆写内存中的文件副本

🔧 缓解措施（暂无补丁）

⚠ 由于安全禁令提前破裂，目前没有任何发行版发布补丁

唯一的缓解措施是移除或屏蔽易受攻击的内核模块：

sh -c “printf ‘install esp4 /bin/false install esp6 /bin/false install rxrpc /bin/false ‘ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”

注意：这会禁用 IPsec ESP 和 RxRPC 功能。对于普通桌面和通用服务器，这没有实际影响，但依赖 IPsec 隧道的组织需要权衡利弊。

📋 漏洞时间线

2017年1月 – xfrm-ESP 漏洞引入（commit cac2661c53f3）

2023年6月 – RxRPC 漏洞引入（commit 2dc334f1a63a）

2026年5月 – 安全禁令破裂，漏洞公开披露

目前 – 暂无补丁，等待各发行版 backport

参考链接

🔗 GitHub: github.com/V4bel/dirtyfrag 🔗 PoC 代码: github.com/V4bel/dirtyfrag/blob/master/exp.c 🔗 技术细节: github.com/V4bel/dirtyfrag/blob/master/assets/writeup.pdf

安全研究：Hyunwoo Kim (@v4bel) 黑客茶话会 | 安全预警

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客茶话会 《Dirty Frag：Copy Fail的继任者，即使打了补丁你的Linux仍然危险》