В ядре Linux обнаружили новую уязвимость Dirty Frag, с помощью которой непривилегированные локальные процессы получают права уровня root. Проблема затрагивает сетевые подсистемы IPsec ESP/XFRM и RxRPC, продолжая серию критических ошибок кэша страниц. Исследователи уже опубликовали рабочий эксплойт в открытом доступе, поэтому администраторам многопользовательских серверов, узлов Kubernetes и сред непрерывной интеграции необходимо срочно устанавливать исправления.
Механика работы уязвимости Dirty Frag
Исследователь безопасности Хену Ким выявил класс уязвимостей, объединяющий две проблемы с записью в кэш страниц ядра Linux. Первая ошибка отслеживается под идентификатором CVE-2026-43284 и затрагивает сетевой путь IPsec ESP/XFRM. Вторая уязвимость получила код CVE-2026-43500 и связана с протоколом RxRPC.
По степени влияния новая угроза сопоставима с недавней уязвимостью Copy Fail, но имеет иную природу. Если Copy Fail затрагивала криптографическую подсистему через компонент algif_aead, то атака через Dirty Frag идет по сетевым маршрутам. Обе бреши относятся к общей категории повреждения кэша страниц, куда также входит известная проблема Dirty Pipe. Суть метода сводится к эксплуатации путей ядра, обрабатывающих буферы страниц — это дает злоумышленнику примитив записи.
Уязвимость не позволяет выполнить код удаленно, но дает возможность локальному пользователю, скомпрометированному контейнеру или задаче CI повысить привилегии до максимума. Специалисты Canonical предупреждают, что в контейнерных кластерах со сторонними нагрузками ошибка теоретически открывает путь для выхода за пределы изолированного окружения, хотя публичного эксплойта для такого сценария пока нет.
Ситуация с патчами в популярных дистрибутивах
Мейнтейнеры операционных систем начали подготовку обновлений, но доступность пакетов сильно разнится:
- Команда AlmaLinux добавила пропатченные ядра для 8, 9 и 10 версий в тестовый репозиторий. Вывод в стабильную ветку ожидается после дополнительных проверок.
- В баг-трекере Debian ошибка CVE-2026-43284 отмечена как исправленная только в нестабильной ветке sid начиная с ядра 7.0.4-1. Выпуски Bullseye, Bookworm, Trixie и Forky остаются уязвимыми.
- Для Ubuntu выпущены инструкции по снижению рисков. Затронуты релизы 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS, 25.10 и 26.04 LTS. Часть пакетов ядра проходит техническую оценку.
- Представители Red Hat подтвердили наличие проблемы в Red Hat Enterprise Linux 8, 9, 10 и платформе OpenShift 4. Инженеры компании ускорили подготовку официальных исправлений.
Временная защита серверов через блокировку модулей
Надежный способ устранить угрозу — установить обновленное ядро и перезагрузить систему. Если патчи для конкретного дистрибутива еще не вышли, вендоры рекомендуют внести уязвимые модули в черный список. Речь идет о блокировке компонентов esp4, esp6 и rxrpc. В официальных руководствах также советуют отключить связанные модули сжатия IPsec, такие как ipcomp4 и ipcomp6.
Метод не универсален. Отключение модулей нарушит сетевые функции на серверах, использующих IPsec VPN, strongSwan, Libreswan, AFS или RxRPC. Частичная блокировка лишена смысла: отключение только одного компонента оставляет возможность эксплуатации через оставшийся модуль.
Заключение
Системным администраторам необходимо установить исправления ядра сразу после их появления в официальных репозиториях. Применять временную блокировку модулей целесообразно лишь в том случае, если сервер не использует затронутые сетевые функции. В нагруженных контейнерных средах приоритет изоляции уязвимых узлов должен быть максимальным.