文章总结： DirtyFrag是Linux内核高危本地提权漏洞，利用页缓存污染机制，通过splice()和网络模块（esp4/esp6或rxrpc）绕过现有防护，普通用户可一键提权。影响近9年主流Linux发行版及信创系统，对云容器、CI/CD等场景威胁极大。暂无官方稳定补丁，建议通过禁用相关内核模块（esp4/esp6/rxrpc）或用户命名空间进行临时缓解。 综合评分： 96 文章分类： 漏洞预警,漏洞分析,云安全,内网渗透,二进制安全

高危预警｜DirtyFrag Linux内核提权漏洞公开！覆盖9年版本，信创系统也受影响

BeatRex BeatRex

BeatRex网安AI观测站

2026年5月8日 16:37 北京

在小说阅读器读本章

去阅读

紧急安全预警

近日，安全研究员公开了高危Linux内核本地提权漏洞——DirtyFrag的全部细节及EXP利用代码，漏洞保密期意外提前终止，暂无官方稳定修复补丁。该漏洞利用门槛极低，普通本地用户可一键提权至Root权限，影响近9年几乎所有主流Linux发行版，国产信创系统、云容器集群、CI/CD环境均在受影响范围内，企业需立即自查处置！

不同于过往同类漏洞，DirtyFrag可绕过现有Copy Fail漏洞缓解策略，通用性、稳定性极强，是当前Linux系统亟需重点防护的高危漏洞。

一、漏洞核心信息

漏洞名称：DirtyFrag Linux内核本地提权漏洞

漏洞等级：高危

漏洞编号：暂无

核心风险：低门槛本地提权、跨容器逃逸、突破租户隔离

当前状态：漏洞细节、POC/EXP代码完全公开，官方补丁尚未全面推送，暂无大规模在野利用记录

二、漏洞原理：新型页缓存污染提权

DirtyFrag 属于Linux内核经典的「Dirty系列」漏洞，与Dirty Pipe、Copy Fail漏洞同源，核心均为内核页缓存写入边界校验失效，但利用路径全新，可绕过原有防护手段。

简单来说，攻击者可通过splice()零拷贝机制，将只读文件的页缓存页面挂载到网络数据包的碎片缓冲区中。内核在执行网络协议原地加解密操作时，会意外修改只读文件的缓存数据，造成页缓存污染。

该漏洞不会篡改磁盘原始文件，但系统读取、执行文件时会加载被污染的缓存内容，最终让普通本地用户直接获取系统最高Root权限。

本次漏洞采用双路径互补利用设计，适配全场景Linux系统：

xfrm-ESP路径：利用esp4/esp6网络模块，适配绝大多数Linux发行版，依赖用户命名空间，默认场景可直接利用

RxRPC路径：利用rxrpc内核模块，无需任何特权，弥补Ubuntu等系统的防护盲点

双重路径相互兜底，让漏洞跨版本、跨系列通用，提权成功率接近100%，且无竞争条件、不会造成内核崩溃，稳定性极强。同时，原有Copy Fail漏洞的algif_aead黑名单防护手段，对该漏洞完全无效。

三、超低利用门槛，极易被攻击

该漏洞无需远程攻击入口，攻击者只需获取任意本地普通用户权限，即可发起提权攻击，核心利用条件如下：

目标内核为2017年1月（v4.11）及以上版本（ESP变体）、2023年6月（v6.5）及以上版本（RxRPC变体），覆盖近9年主流内核

ESP变体：系统默认允许创建用户命名空间（绝大多数服务器默认配置）

RxRPC变体：无需特权、无需命名空间，仅需rxrpc模块加载（Ubuntu默认加载）

目前公开EXP已实现一键自动化提权，普通运维人员、恶意攻击者均可快速操作，风险扩散速度极快。

四、全覆盖影响范围，信创系统未能幸免

经实测验证，本次漏洞覆盖主流商用Linux、国产信创Linux两大体系，绝大多数线上业务系统均受影响：

✅ 开源/商用Linux系统

Ubuntu 22.04/24.04、RHEL 10.1、Rocky Linux 10.1、AlmaLinux 8.10/10、CentOS Stream 10、openSUSE、Fedora、Debian等

✅ 国产信创系统

统信UOS 1070、优麒麟24.04.1、openEuler、CTyunOS等（UOS 1060版本暂不受影响）

五、重点高风险业务场景，优先处置！

不同业务场景风险等级差异极大，以下场景风险最高，需立即应急防护：

🔴 极高风险：多租户容器/云环境

K8s集群、云主机多租户、容器沙箱、Serverless服务。攻击者可通过容器内普通权限，突破容器隔离、跨越租户边界，直接控制宿主机，横向渗透全网业务。

🔴 极高风险：CI/CD流水线环境

Jenkins、GitLab Runner、GitHub Actions等可执行外部代码的构建环境，恶意PR、恶意代码可直接提权接管流水线宿主机。

🟡 中等风险：单租户生产服务器

常被作为内网横向移动、RCE漏洞后续提权的核心利用手段，威胁内网业务安全。

🟢 低风险：单用户工作站、个人PC

可将本地任意代码执行权限提升为Root权限，本地安全风险较高。

六、临时应急缓解方案（可直接落地）

目前各厂商尚未发布官方内核修复补丁，建议优先采用临时缓解措施，阻断漏洞利用。操作前请评估业务影响：禁用esp4/esp6模块会影响IPsec VPN业务，禁用rxrpc模块会影响AFS文件服务，无对应业务可直接执行！

1、写入模块黑名单，禁止恶意加载

执行以下命令，阻止内核自动加载风险模块：

sudo sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf”

2、卸载当前已加载风险模块

清理系统正在运行的漏洞相关模块：

sudo rmmod esp4 esp6 rxrpc 2>/dev/null || true

3、重启服务器并验证生效

重启系统后，执行以下命令验证模块是否已禁用，无输出即为防护成功：

lsmod |grep -E ‘^(esp4|esp6|rxrpc)’

4、辅助降风险（ESP场景专用）

若内核已内置ESP功能（无法卸载模块），可禁用用户命名空间降低攻击风险：

临时生效

sudo sysctl -w user.max_user_namespaces=0

永久生效

echo ‘user.max_user_namespaces = 0’| sudo tee /etc/sysctl.d/99-disable-userns.conf

sudo sysctl –system

注：该操作可能影响rootless容器、沙箱、CI构建环境，需提前评估业务兼容性。

七、漏洞修复最新进展

xfrm-ESP变体修复补丁已合并至Linux内核netdev主线

RxRPC变体修复补丁已提交邮件列表，暂未合入上游

各Linux发行版、国产信创系统厂商正在评估适配，暂未推送正式安全更新

八、企业安全建议

立即自查资产：梳理内网Linux服务器、容器节点、信创系统版本，优先防护云集群、CI/CD核心环境；

落地临时防护：无IPsec、AFS业务的服务器，尽快执行模块禁用操作，阻断漏洞利用；

强化安全监测：重点监控本地用户异常提权、dash进程异常创建、内核模块异常加载行为；

等待官方补丁：持续关注操作系统厂商更新，待稳定补丁发布后，及时升级内核彻底修复漏洞；

权限收紧：最小化普通用户本地权限，避免非必要本地账号登录服务器。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BeatRex网安AI观测站 BeatRex BeatRex《高危预警｜DirtyFrag Linux内核提权漏洞公开！覆盖9年版本，信创系统也受影响》