就在 Copy Fail 漏洞的补丁还在陆续推送时，一个名为 Dirty Frag 的全新本地提权零日漏洞又被公开。攻击者只需一条命令，就能在绝大多数主流 Linux 发行版上从普通用户直接拿到 root 权限，无须复杂条件即可完成攻击。

漏洞速览

漏洞名称：Dirty Frag

漏洞类型：本地权限提升（Local Privilege Escalation, LPE）

影响对象：主流 Linux 发行版，包括 Ubuntu、RHEL、CentOS Stream、AlmaLinux、Fedora、openSUSE Tumbleweed 等

当前状态：暂无 CVE 编号，暂无正式补丁

利用难度：极低，一行命令即可实现

发现者、安全研究员 Hyunwoo Kim 已发布完整技术文档与概念验证（PoC）代码，原因在于原本的漏洞披露禁运期被意外打破。

攻击原理：两个老问题的致命串联

Dirty Frag 的厉害之处，不在于它发现了某个全新的底层缺陷，而在于它把内核里存在已久的两个旧毛病串了起来。具体来说，漏洞位于 Linux 内核的 algif_aead 加密算法接口中，相关代码大约9年前就被引入。

攻击技术精巧地结合了：

1. xfrm-ESP 页面缓存写入漏洞

2. RxRPC 页面缓存写入漏洞

通过同时利用这两个缺陷，攻击者能够绕过限制，在内存中直接篡改受保护的系统文件，从而完成提权。

虽然 Dirty Frag 与此前闻名的 Dirty Pipe、Copy Fail 属于同一大类漏洞，但它瞄准的是内核数据结构的分片（fragment）字段，也因此绕开了当时为应对前几起漏洞建立的部分防护。

为何如此危险？确定性逻辑缺陷

Hyunwoo Kim对此的评价非常直白：

“和之前的 Copy Fail 一样，Dirty Frag 在所有主流发行版上都能立刻实现 root 提权。它本质上是一个确定性的逻辑 Bug，不需要竞争条件，不依赖任何时间窗口，就算利用失败也不会触发内核崩溃——成功率极高。”

换句话说，这个漏洞使用起来几乎不需要运气。对攻击者来说，这并非一个需要反复尝试的机会性漏洞，而是一个可靠、稳准的提权工具。

披露一波三折

按照安全社区的协作规范，这类高风险漏洞通常会有一段禁运期，以便厂商准备补丁。但意外发生了：

- 2026 年5月7日，一名无关的第三方独立公开了该漏洞的利用代码。

- 禁运自此被打破，补丁和 CVE 都还来不及建立。

- Kim 在与linux-distros@vs.openwall.org的维护者协商后，应其请求，将完整文档和 PoC 公开发布。

这意味着在官方修复到来之前，公开的利用代码已经存在，留给攻击者的窗口期大幅缩短。

紧急缓解措施

在正式补丁出现前，系统管理员可以通过手动移除有问题的内核模块来临时抵御攻击。执行以下命令即可：

bashsh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

这条命令会阻止 esp4、esp6 和 rxrpc 模块加载，并尝试立刻卸载它们。但请注意：这会导致 IPsec VPN 和 AFS 分布式网络文件系统无法正常工作。执行前务必确认业务环境中是否依赖这些功能。

Linux 内核提权漏洞接连不断

近期的 Linux 内核安全态势简直可以用“连环炸”来形容：

- Copy Fail：同样为 root 提权漏洞，目前正处于活跃利用阶段。美国 CISA 已将其列入已知利用漏洞目录，并勒令联邦机构在5月15日前完成修复。

- Pack2TheRoot：今年4月刚刚修补的又一个提权漏洞，在 PackageKit 守护进程中潜伏了整整十年才被发现。

攻击者手中有多个可供选择的内核提权工具，这无疑给企业防御带来了更大压力。

Dirty Frag 的重重特性——零日、无补丁、利用代码已公开、影响范围极广——让它成为眼下 Linux 生态最严重的安全威胁之一。运维人员需要尽快评估自身环境，短期内可考虑应用上述模块屏蔽方案，并持续关注发行版厂商的正式安全更新。

资讯来源：安全研究员 Hyunwoo Kim 公开发布的技术文档、BleepingComputer 相关报道。

[培训]《冰与火的战歌：Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。