Dirty Frag: Девятилетняя уязвимость в ядре Linux

7 мая стало известно о новой уязвимости в ядре Linux, которая позволяет получить права суперпользователя. Однако эмбарго на раскрытие информации о ней было нарушено третьими сторонами. Несмотря на то, что способ ее устранения стал доступен довольно быстро, разработчики дистрибутивов Linux активно работают над тем, чтобы предоставить пользователям обновленные ядра с соответствующим патчем.

Выходные 8 мая оказались напряженными для системных администраторов: чуть более чем через неделю после обнаружения уязвимости Copy-fail в ядре Linux, 7 мая была обнародована еще одна критическая уязвимость. Теперь она известна под названием Dirty Frag.

Как и в случае с Copy-fail, эксплуатация этой уязвимости позволяет осуществить эскалацию привилегий. Это означает, что обычный пользователь системы может с легкостью получить права суперпользователя (root) и выполнять любые действия. Однако для этого необходимо иметь учетную запись на целевой машине.

Нарушение эмбарго

Эта уязвимость была обнаружена независимым исследователем Хёнву Кимом. Однако он не планировал раскрывать информацию так рано. Как он пояснил в пятницу в списке рассылки oss-security, третьи лица нарушили эмбарго на публикацию данных об этой уязвимости, которая затрагивает большинство дистрибутивов Linux.

Таким образом, в пятницу, когда он опубликовал свое сообщение, не существовало ни патча, ни присвоенного номера уязвимости. Единственный способ, который он предложил для предотвращения эксплуатации, заключался в блокировке модулей, содержащих проблему, с помощью следующей команды:

sh -c 'printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true'

С тех пор сообщество активно работало над устранением уязвимости. Хёнву Ким создал официальный репозиторий на GitHub для описания проблемы, и в итоге были созданы две записи CVE: CVE-2026-43284 и CVE-2026-43500. Оценка уязвимости для второй еще не установлена, но для CVE-2026-43284 она составляет 8,8 балла. Как и в случае с Copy-fail, вектор атаки является локальным (AV:L): для эксплуатации требуется локальный доступ к машине, и оценка была бы, несомненно, выше, если бы это было не так.

Изменение, возможное с 2017 года

Обе уязвимости, как и в случае с Copy-fail, были связаны с возможностью изменения кэша страниц (page cache) — для xfrm-ESP с 2017 года (CVE-2026-43284) и для RxRPC с 2023 года (CVE-2026-43500). Исправленные соответственно 5 и 10 мая в обоих проектах, Хёнву Ким подчеркивает, что «другими словами, эффективный срок жизни этих уязвимостей составляет около 9 лет».

Сходство с Copy-fail неудивительно, поскольку Хёнву Ким объясняет, что именно предыдущая уязвимость вдохновила его на поиск других подобных проблем.

Исследователь также предоставил Proof-of-Concept (PoC). Было проведено тестирование на виртуальном выделенном сервере с Ubuntu 25.04, где удалось воспроизвести описанное поведение. Таким образом, любой, кто имеет учетную запись на машине, может получить права root и выполнять любые действия.

В своей документации, до того как будет возможно установить патч для вашего дистрибутива, Хёнву Ким предлагает тот же метод устранения проблемы, который он описал в своем сообщении в списке рассылки oss-security.

Как объясняет Ubuntu в своем блоге, этот метод может вызвать проблемы, если используются протоколы VPN IPSec (например, с strongSwan) или распределенная файловая система AFS (Andrew File System), а также другие приложения, использующие RxRPC.

Гонка за патчами

Постепенно разработчики дистрибутивов Linux выпускают исправления. Например, это касается некоторых версий Debian. Однако из-за нарушения эмбарго развертывание патчей не было завершено к моменту публичного раскрытия уязвимости. На репозитории GitHub под названием «Copy Fail 2: Electric Boogaloo» другие лица опубликовали информацию об уязвимости, дополняя работу Хёнву Кима, но при этом ссылаясь на него.

Хёнву Ким объясняет, что он связался с командой безопасности ядра Linux 30 апреля, предоставив эксплойт, демонстрирующий возможности использования уязвимости. Параллельно над проблемой работал исследователь Куан-Тин Чен, который предложил патч 4 мая в списке рассылки netdev, и он был интегрирован в ветку netdev 7 мая. Затем Хёнву Ким проинформировал разработчиков дистрибутивов Linux через список рассылки linux-distros, и был установлен пятидневный эмбарго. Однако это эмбарго было нарушено третьей стороной, что ускорило необходимость экстренного развертывания решения. Как и в случае с Copy-fail, системные администраторы оказались в ситуации, когда на момент раскрытия у них была лишь частичная информация о проблеме.