Дистрибутивы Linux начали выпускать патчи для новой уязвимости повышения привилегий в ядре, которая позволяет злоумышленникам выполнять вредоносный код с root-правами.
Уязвимость получила название Fragnasia и идентификатор CVE-2026-46300. Проблема связана с логической ошибкой в подсистеме Linux XFRM ESP-in-TCP, которая позволяет непривилегированным локальным злоумышленникам получать root-права путем записи произвольных байтов в Page-кэше ядра для файлов, доступных только для чтения.
Руководитель направления assurance в компании Zellic, Уильям Боулинг (William Bowling), обнаруживший новую уязвимость локального повышения привилегий, также опубликовал эксплойт «доказательства концепции» (proof-of-concept, PoC). Эксплойт реализует примитив записи в память ядра, который используется для повреждения памяти Page-кэша бинарного файла /usr/bin/su, что позволяет запускать команды с правами суперпользователя на уязвимых системах.
Боулинг заявил, что эта уязвимость относится к классу уязвимостей Dirty Frag, информация о котором была раскрыта на прошлой неделе, и затрагивает все версии ядра Linux, выпущенные до 13 мая 2026 года. Как и в случае с Fragnasia, для Dirty Frag доступен публичный PoC-эксплойт, который локальные злоумышленники могут использовать для получения прав root в основных дистрибутивах Linux.
Dirty Frag работает за счет объединения двух отдельных уязвимостей ядра — xfrm-ESP Page-Cache Write (CVE-2026-43284) и RxRPC Page-Cache Write (CVE-2026-43500) — чтобы добиться повышения привилегий путем модификации защищенных системных файлов в памяти.
Боулинг заявил:
Fragnesia относится к классу уязвимостей Dirty Frag. Это отдельная ошибка в подсистеме ESP/XFRM, отличная от dirtyfrag, и для нее уже выпущен собственный патч. Однако она затрагивает ту же поверхность атаки, а меры защиты совпадают с dirtyfrag.
Уязвимость использует логическую ошибку в подсистеме Linux XFRM ESP-in-TCP, чтобы добиться записи произвольных байтов в Page-кэше ядра для файлов, доступных только для чтения, без необходимости использования каких-либо состояний гонки.
Для защиты систем от атак пользователям Linux рекомендуется как можно скорее установить обновления ядра для своей среды.
Тем, кто не может немедленно установить патчи, рекомендуется использовать те же команды для удаления уязвимых модулей ядра, что и для Dirty Frag (важно учитывать, что это приведет к нарушению работы распределенных сетевых файловых систем AFS и VPN-соединений IPsec):
rmmod esp4 esp6 rxrpc printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
Связанные уязвимости Linux
Информация о Fragnasia появилась в то время, когда дистрибутивы Linux все еще выпускают патчи для другой уязвимости повышения привилегий — Copy Fail, которая уже активно используется в реальных атаках.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 1 мая 2026 года добавило Copy Fail в каталог уязвимостей, используемых в атаках, и обязало федеральные ведомства защитить свои Linux-системы в течение двух недель — до 15 мая.
CISA предупреждает:
Подобные уязвимости часто используются злоумышленниками в качестве вектора атак и представляют значительные риски для федеральной инфраструктуры. Применяйте меры защиты в соответствии с инструкциями поставщиков, следуйте требованиям BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры защиты недоступны.
В апреле дистрибутивы Linux также выпустили патчи для еще одной уязвимости повышения привилегий под названием Pack2TheRoot.