文章总结: DirtyFrag是Linux内核新型本地提权漏洞,属于Dirty系列漏洞家族新成员。该漏洞通过污染sk_buff结构体的frag成员实现页缓存写入,影响Ubuntu/RHEL等主流发行版,无需竞争条件且利用稳定。EXP已公开且一键获取root权限,目前无CVE编号和官方补丁,危害涵盖容器逃逸、云多租户和IoT设备安全。 综合评分: 85 文章分类: 漏洞分析,威胁情报,Linux安全,应急响应,云安全
Copy Fail 之后又来了!Dirty Frag:禁用 algif_aead 也挡不住,双漏洞链贯通全 Linux 发行版
原创
挽风 挽风
挽风安全
2026年5月12日 17:02 四川
在小说阅读器读本章
去阅读
“安全圈永远不会只来一个漏洞”
还记得这个月的 Copy Fail(CVE-2026-31431),732 字节 EXP,一秒 Root,潜伏九年。话音刚落,新的风暴又到了。这回的主角,名字叫 Dirty Frag
一、先认识一下作者
在聊漏洞之前,必须介绍一下这个漏洞的发现者—— Hyunwoo Kim(@v4bel) 。
如果你对这个名字感到陌生,那我说另一个名字你肯定知道: Dirty Pipe 。
是的,2022 年那个轰动全球、让所有 Linux 用户连夜打补丁的 Dirty Pipe,就是 v4bel 发现的。当年他靠着这个漏洞一战成名,直接把 “Dirty 系列” 变成了 Linux 内核漏洞领域的”金字招牌”。
而现在,他带着 Dirty Pipe 的”直系后代”回来了。
二、Dirty Frag 影响是什么?
主流 Linux 发行版,根据发布的信息来看的话是均沦陷。
实测通过的发行版:
| 发行版 | 内核版本 | | — | — | | Ubuntu 24.04.4 | 6.17.0-23-generic | | RHEL 10.1 | 6.12.0-124.49.1.el10_1.x86_64 | | openSUSE Tumbleweed | 7.0.2-1-default | | CentOS Stream 10 | 6.12.0-224.el10.x86_64 | | AlmaLinux 10 | 6.12.0-124.52.3.el10_1.x86_64 | | Fedora 44 | 6.19.14-300.fc44.x86_64 |
而且这还只是 v4bel 测试过的——理论上,影响范围远不止这些。
三、Dirty Frag 与 Copy Fail 的关系
这里必须单独拿出来说,因为这才是最让人后背发凉的地方。
v4bel 在 README 里明确写道:
“Copy Fail was the motivation for starting this research.”
Copy Fail 是这项研究的起点。v4bel 在研究 Copy Fail 的过程中,沿着相同的 Bug Class(bug 类别)继续深挖,发现 1 个漏洞变成 2 个漏洞组成的链:
Dirty Pipe 是”老祖宗”——2022 年首个利用 sk_buff 结构体实现页缓存污染的漏洞。
Copy Fail 是”二代目”——2026 年利用 authencesn 模块的 in-place 缺陷实现页缓存写入。
Dirty Frag 是”究极体”——把同一个 Bug Class 拓展到了 xfrm-ESP 和 RxRPC 两条完全不同的路径上,而且不需要 algif_aead 模块。
这意味着什么?
就算像我这种安服仔已经按照 Copy Fail 的临时缓解方案禁用了 algif_aead ,我的系统仍然会被 Dirty Frag 拿下。因为 Dirty Frag 走的是一条完全不同、不相干的攻击路径。
你以为大门锁好了,结果人家从后门进来了。
四、技术特点:确定性逻辑漏洞,不高深但致命
跟 Dirty Pipe 和 Copy Fail 一脉相承,Dirty Frag 同样具有这些特征:
| 特性 | 说明 | | — | — | | 漏洞类型 | Pages Cache Write(页缓存写入) | | 竞争条件 | 无需 race condition | | 利用稳定性 | 确定性逻辑漏洞,成功率高 | | 内核崩溃 | 攻击失败也不会 panic | | 攻击复杂度 | 低,EXP 已公开 |
v4bel 在文档里把这称为 “Dirty” Bug Class(污染类漏洞) :
凡是通过污染 sk_buff 结构体的 frag 成员来实现页缓存写入的漏洞,都属于这个家族。
Dirty Pipe 污染 pipe buffer 的 page 成员;Dirty Frag 污染 sk_buff 的 frag 成员——名字就是这么来的: Dirty + Frag = Dirty Frag 。
五、当前状态:没有 CVE,没有补丁
这才是最紧急的地方。
由于 披露流程中的 embargo(禁发期)被第三方提前打破 ,Dirty Frag 目前处于一个很尴尬的境地:
- – ❌ 没有 CVE 编号 ——还在分配流程中
- – ❌ 没有任何发行版的官方补丁 ——补丁需要各发行版回溯移植(backport),需要时间
- – ✅ EXP 已完整公开 ——就在 GitHub 仓库里
- – ✅ 一键利用 ——一行命令 Clone、编译、执行,直接 Root
仓库地址:
🔗 GitHub: https://github.com/V4bel/dirtyfrag
一键复现命令:
```
git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
跑完就是 Root。就这么简单。
这比 Copy Fail 当初的情况更严峻——Copy Fail 公开的时候,各大发行版的补丁已经准备好或正在推送。而 Dirty Frag 是 "被迫提前公开",补丁压根没跟上。
所以感觉有点爆炸的影响这一块:
作者根据Github仓库提供的exp进行复现:
首先编译
赋予执行权限
执行
获取到系统root的权限
## 六、安全影响分析
Dirty Frag 和 Copy Fail 属于同一个漏洞家族,危害场景完全一致:
* - 🔓 本地提权 :普通用户 → Root
* - 🐳 容器逃逸 :打破容器隔离,直通宿主机
* - 🏗️ CI/CD 沦陷 :GitHub Actions、Jenkins、GitLab Runner 等环境
* - ☁️ 云多租户风险 :Notebook、Serverless 等共享环境
* - 📡 IoT/嵌入式设备 :大量基于 Linux 的路由器、摄像头、工控设备
而且 Dirty Frag 的覆盖面比 Copy Fail 还要广——因为它不受 algif\_aead 模块是否存在的限制。
## 七、总结&结语
从 Dirty Pipe 到 Copy Fail,再到 Dirty Frag,这条漏洞家族的发展轨迹非常清晰:
Dirty Pipe (2022) └─ Copy Fail (2026.04) └─ Dirty Frag (2026.05)
“`
每一次迭代,都更通用、更稳定、更难防御。
Dirty Frag 的出现说明安全研究这条路永远不会无聊——总有新的坑可以挖,总有新的洞等着你。
欢迎点赞、在看、转发,让更多师傅看到。安全圈多一个人知道,就少一台机器沦陷。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:挽风安全 挽风 挽风《Copy Fail 之后又来了!Dirty Frag:禁用 algif_aead 也挡不住,双漏洞链贯通全 Linux 发行版》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论