文章总结： Linux内核DirtyFrag漏洞允许本地攻击者利用splice调用与xfrm-ESP或RxRPC缺陷，无竞态篡改只读页缓存实现提权或容器逃逸。漏洞影响4.11及6.5以上内核，稳定性高且PoC已公开。官方暂无补丁，建议禁用esp4/esp6/rxrpc模块，容器环境用Seccomp限制命名空间及高危调用，并监控关键文件篡改。 综合评分： 84 文章分类： 漏洞预警,漏洞分析,应急响应

【漏洞通告】Linux内核权限提升漏洞（Dirty Frag）

原创

NS-CERT NS-CERT

绿盟科技CERT

2026年5月8日 13:56 四川

在小说阅读器读本章

去阅读

通告编号 NS-2026-0012

2026-05-08

| | | | — | — | | TAG： | Linux、kernel、Dirty Frag | | 漏洞危害： | 攻击者利用此漏洞，可实现系统权限提升。 | | 版本： | 1.0 |

1

漏洞概述

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（Dirty Frag），攻击者利用splice系统调用配合xfrm-ESP或RxRPC协议栈的逻辑缺陷，无需竞争条件即可篡改任意只读文件的页缓存获取系统root权限，在多租户服务器、跳板机或容器云环境中，普通用户及容器内进程可借此实现本地提权或容器逃逸。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

xfrm-ESP Page-Cache Write：由于esp4/esp6模块中存在逻辑缺陷，具有创建用户命名空间权限的本地攻击者可通过Netlink接口构造特制的ESP数据包篡改页缓存，从而修改关键系统文件获取root权限。

RxRPC Page-Cache Write：由于rxrpc模块存在逻辑缺陷，具有普通权限的本地攻击者可通过创建AF_RXRPC套接字构造特殊RxRPC调用篡改页缓存，从而修改关键系统文件获取root权限。

注：该漏洞具有极高的稳定性和隐蔽性。攻击者通过运行简单脚本，即可精准篡改系统任意只读文件的页缓存；由于该利用过程属于确定性逻辑触发，不依赖竞态条件，且仅篡改内存数据而不破坏磁盘原始文件，导致基于磁盘扫描的传统安全工具难以实时发现。

Linux内核是操作系统的核心组件，负责进程管理、内存管理、设备驱动、文件系统及网络协议栈等关键功能，广泛部署于服务器、桌面系统及嵌入式设备中。esp4和esp6模块是IPsec协议栈的核心组件，分别负责处理IPv4和IPv6的ESP（Encapsulating Security Payload）协议数据包，是实现IPsec的加密、认证和封装流量的关键机制。rxrpc模块是实现RxRPC（Remote Procedure Call over unreliable datagram networks）协议的核心组件，专为在不可靠的UDP网络上提供可靠的远程过程调用（RPC）通信而设计。

目前已在多个Linux发行版复现此漏洞：

参考链接：

https://www.openwall.com/lists/oss-security/2026/05/07/8

SEE MORE →

2影响范围

受影响版本

xfrm-ESP Page-Cache Write：

• Linux kernel  >= 4.11（commit cac2661c53f3，2017-01-17引入）

RxRPC Page-Cache Write：

• Linux kernel >= 6.5（commit 2dc334f1a63a，2023-06引入）

注：影响Ubuntu、Debian、RHEL、openSUSE、CentOS、AlmaLinux、Fedora、Arch Linux等绝大多数Linux发行版。

3漏洞检测

人工检测

Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内，查看操作系统版本信息命令如下：

| | | — | | cat /proc/version |

可使用下列命令检查esp4/esp6/rxrpc模块的状态：

| | | — | | lsmod | grep -E ‘^(esp4|esp6|rxrpc) |

注：若系统内核在受影响范围且加载了相关模块，则存在安全风险。

4漏洞防护

官方升级

目前官方暂未正式发布更新修复上述漏洞，请受影响的用户关注新版本动态并及时更新，下载链接：https://kernel.org/

其他防护措施

在不影响业务的情况下，可使用以下措施进行临时防护：

1、相关用户可通过禁用esp4/esp6/rxrpc模块以阻断攻击面：

| | | — | | sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true” |

2、在容器或云环境中，建议通过Seccomp配置禁止进程创建AF_ALG类型的套接字，拦截非特权用户命名空间创建，以防止逃逸风险。

3、监测/etc/passwd、/etc/sudoers、/etc/shadow、/usr/bin/su等关键文件异常篡改，限制普通用户splice、add_key、unshare等高风险调用。

END

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：绿盟科技CERT NS-CERT NS-CERT《【漏洞通告】Linux内核权限提升漏洞（Dirty Frag）》