一、漏洞介绍

2026 年 5 月，安全研究人员公开披露 Linux 内核页缓存链式提权漏洞链 Dirty Frag，包含两个独立高危漏洞编号：CVE-2026-43284、CVE-2026-43500，属于继 Copy Fail、Dirty Pipe 之后同系列页缓存篡改类本地权限提升缺陷。

整套漏洞依托内核网络协议栈逻辑缺陷实现利用，二者均可单独触发提权，组合使用可拓宽攻击适配场景。

1. CVE-2026-43284：缺陷位于 IPsec ESP 加密子系统 esp4/esp6 模块，内核在解密流程跳过拷贝检查，允许原地修改外部共享页缓存页面；内核版本 4.11 起受影响，上游主线内核已推送对应补丁。
2. CVE-2026-43500：缺陷存在于 RxRPC 远程调用网络模块，存在同源缓存页未校验写入权限问题，截至当前主线内核补丁仍未完整落地，仅可通过临时规避手段降低风险。

漏洞触发门槛较低，普通本地用户可通过创建非特权用户命名空间，间接获取网络管理权限，搭配 splice 零拷贝接口构造攻击链路，公开 POC 代码已对外披露，少量云服务器、容器集群出现野外利用案例，覆盖 Ubuntu、RHEL、Debian、国产服务器发行版等主流环境。

二、危害评估

该漏洞 CVSS 评分 7.8，风险等级归类高危，多重业务场景均存在显著安全隐患：

1. 本地权限提升：攻击者可精准修改 SUID 权限二进制程序、passwd 等系统关键文件内存页缓存，稳定获取 root 权限，无复杂竞争条件，攻击成功率稳定。修改仅作用于内存页缓存，不会写入磁盘，常规文件完整性校验工具难以发现异常行为，隐蔽性较强。
2. 容器逃逸风险：K8s、OpenShift 等容器环境中，容器内普通用户可借助命名空间机制触发漏洞，篡改宿主机共享页缓存，突破容器隔离边界，控制宿主机节点，横向威胁集群全部业务负载。
3. 覆盖范围广：漏洞覆盖近十年主流 Linux 内核版本，云主机、嵌入式设备、工控主机、星载通用 Linux 系统均存在暴露可能；同时漏洞依托网络协议模块触发，默认系统配置大多未做限制，加固不足的环境易被批量入侵。
4. 长期潜伏隐患：受影响模块为系统默认加载组件，若无内核补丁配合，仅靠日志审计、进程监控难以拦截攻击行为，易形成长期驻留后门。

针对此类持续迭代出现的页缓存类内核漏洞，国产望获 OS 建立常态化 CVE 跟踪机制，持续跟进全球内核安全披露信息，同步完成漏洞溯源、适配评估与版本迭代，持续完善底层防护能力，保障关键业务系统稳定运行。

三、原理剖析

Dirty Frag 漏洞根源为内核网络协议栈处理 skb 碎片时，缺少共享页缓存读写权限校验，过度追求零拷贝性能而省略拷贝保护逻辑，允许非授权路径原地修改只读文件内存页，两套漏洞触发逻辑具备同源特征：

1. CVE-2026-43284（IPsec ESP 路径）

攻击者调用 splice 将只读文件页缓存挂载至套接字缓冲区碎片槽位，ESP 解密函数 esp_input () 未执行 skb_cow_data 拷贝校验，直接在共享内存页执行 AEAD 原地解密操作，实现可控 4 字节内存写入。攻击者可自主指定写入偏移与数据，篡改特权程序内存逻辑完成提权；依托用户命名空间可绕过 CAP_NET_ADMIN 权限限制，普通用户即可完成完整攻击链路。

1. CVE-2026-43500（RxRPC 路径）

RxRPC 协议处理数据包碎片时，同样未校验页缓存归属与读写权限，对 splice 注入的只读页面直接执行内存覆写，形成另一套独立的页缓存写入原语。该模块暂无主线补丁，仅能通过禁用模块实现临时阻断。

通用 Linux 内核设计中，页缓存属于全局共享资源，容器、普通进程均可访问，一旦网络子系统绕过权限校验，只读文件内存区域会被非法篡改。与同类漏洞相比，Dirty Frag 将攻击面从本地加密子系统拓展至网络协议栈，进一步扩大风险边界。

四、修复与防御方案

分为永久补丁修复、临时应急规避、常态化系统加固三层处置策略，适配生产环境不同停机窗口要求：

1. 永久补丁升级（根治方案）

• 针对 CVE-2026-43284：同步发行版官方内核更新包，升级至已修复基线内核，重启主机后消除该漏洞风险；主流厂商已陆续推送安全更新。
• 针对 CVE-2026-43500：上游内核补丁尚未正式合入，需持续跟踪主线更新，待完整补丁发布后统一升级内核。

升级完成后可通过内核版本、安全公告校验系统修复状态。

2. 无停机临时缓解措施

适用于无法重启升级的核心业务集群：

1. 黑名单屏蔽高危内核模块，阻止 esp4、esp6、rxrpc 自动加载，在线卸载已加载模块，切断漏洞触发入口；
2. 限制非特权用户创建用户命名空间，调整 sysctl 参数关闭 unprivileged_userns_clone，阻断权限绕过前置条件；
3. 临时关闭主机未使用的 IPsec、RPC 相关网络服务，缩小攻击暴露面。

3. 长期常态化安全加固

1. 权限管控：降低普通用户内核敏感调用权限，容器集群启用严格权限隔离，限制容器内加载网络协议模块；
2. 运行监测：部署内存页缓存异常读写监测工具，对 SUID 程序内存篡改行为实时告警；
3. 底层架构优化：选用具备原生内存边界校验、模块调用隔离能力的操作系统，从底层减少同类逻辑漏洞触发条件；
4. 漏洞响应机制：持续跟踪 CVE 安全预警，定期开展内核基线巡检，形成补丁更新标准化流程。

总结

Dirty Frag（CVE-2026-43284、CVE-2026-43500）延续了页缓存篡改漏洞家族的设计缺陷，反映出通用 Linux 内核在性能优化与内存权限校验之间的平衡短板，本地低权限提权、容器逃逸、隐蔽驻留等特性，对云原生、工控、航天搭载 Linux 系统构成持续威胁。

各单位需尽快完成资产排查，结合临时规避与内核升级方案消除风险。对于长期稳定运行的关键业务场景，可依托具备持续漏洞响应能力的自研操作系统，持续跟进各类高危 CVE 并迭代适配补丁，构建分层底层安全防护体系。