Dirty Frag: две ошибки в ядре Linux могут дать root — что проверить на серверах прямо сейчас

В Linux всплыла новая цепочка локального повышения привилегий, получившая название Dirty Frag. Она объединяет две проблемы в подсистемах ESP (часть IPsec) и RxRPC и при удачных условиях позволяет пользователю с локальным доступом стать root.

Ситуация неприятна не только для админов «железных» серверов. В зоне риска оказываются тестовые стенды, CI-раннеры, сборочные машины, а также хосты, где к системе имеют доступ несколько команд или клиентов. Даже если уязвимость не даёт «вход с интернета», она сильно упрощает жизнь атакующему после любого первоначального проникновения.

Что именно нашли

Dirty Frag — это цепочка из двух уязвимостей, которым присвоены идентификаторы CVE-2026-43284 и CVE-2026-43500. В обоих случаях речь про возможность «неправильно» менять данные, которые лежат в page cache (кэше страниц) и могут соответствовать файлам на диске. Из-за этого атакующий получает шанс повредить критичные файлы и добраться до повышения прав.

Важно, что класс таких ошибок детерминированный: это не «гонка на удачу», где нужно поймать редкое окно по времени. Именно поэтому подобные истории быстро попадают в чек-листы для оперативных мер, наряду с другими громкими LPE-сюжетами последних лет.

Почему это может коснуться разработчиков и DevOps

• После компрометации приложения (уязвимость в веб-сервисе, утёкший ключ, вредоносный пакет) атакующему часто нужно закрепиться. Локальное повышение привилегий превращает «пользователя» в «хозяина машины».
• Общие окружения: сборочные серверы, раннеры, jump-хосты, «временные» VM для тестов обычно имеют широкий набор инструментов и пользователей — там LPE особенно опасны.
• Контейнеры: в хорошо зажатых настройках эксплуатация может быть сложнее, но если в окружении есть лишние capabilities или ослабленные политики, риск резко растёт.

Какие системы могут быть затронуты

Точный «полный список версий» на момент публикации не зафиксирован как окончательный, но исследователи отмечают широкий охват по дистрибутивам и версиям ядра. В числе упоминаемых/проверенных — Ubuntu, RHEL 8/9/10, CentOS Stream 10, AlmaLinux 8/9/10, Fedora, openSUSE Tumbleweed; также отдельно рассматриваются сценарии в OpenShift.

Что можно сделать до выхода патчей

Пока официальные исправления не разъехались по всем каналам обновлений, предлагается временная мера: отключить уязвимые модули ядра. Это снижает поверхность атаки, но может ударить по функциональности — поэтому стоит оценить последствия заранее.

Временная митигирующая мера (отключение модулей esp4/esp6/rxrpc):

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Перед применением полезно проговорить с командами два практических момента:

• esp4/esp6 — могут быть нужны для IPsec. Если у вас VPN или сетевые сценарии завязаны на IPsec, отключение способно их сломать.
• rxrpc — может быть критичен для окружений, где используется AFS (kAFS) и связанные сценарии.

Как снизить риск «по-взрослому», а не только командой в консоли

• Ограничить локальный доступ: убрать лишние учётки, закрыть «временные» SSH-доступы, пересмотреть, кто реально должен иметь shell на проде.
• Не раздавать лишние capabilities (в частности, исследователи отдельно упоминают сценарии, где может фигурировать CAP_NET_ADMIN).
• Дожимать SELinux/AppArmor, если они у вас «формально включены», но работают в режиме, который мало что запрещает.
• План обновлений: как только у вендора/дистрибутива появляются патчи, важно закладывать окно на обновление ядра, а не откладывать «до ближайшего квартала».

Главная мысль: Dirty Frag — это не повод «бояться Linux», а повод относиться к локальным LPE так же серьёзно, как к удалённым уязвимостям. В реальных атаках они часто становятся второй ступенькой, после которой инцидент начинает стоить намного дороже.