Уязвимость Dirty Frag (CVE-2026-43284, CVE-2026-43500)
Критическая уязвимость в ядре Linux — что нужно сделать прямо сейчас.
7 мая 2026 года исследователь Hyunwoo Kim опубликовал информацию о критической уязвимости в ядре Linux под названием Dirty Frag. Она позволяет любому локальному непривилегированному пользователю — или процессу внутри контейнера — получить полный root-доступ на сервере.
Публичный работающий эксплойт уже доступен. Действовать нужно сегодня.
Не теряя актуальность
Статья дополняется по мере выхода новых патчей и подробностей уязвимости.
Что такое Dirty Frag
Уязвимость находится в коде быстрого дешифрования IPsec ESP и rxrpc. Когда сокетный буфер содержит страницы памяти, которые не находятся в исключительном владении ядра (например, прикреплённые через splice(2), sendfile(2) или MSG_SPLICE_PAGES), ядро дешифрует данные напрямую поверх этих страниц — тем самым открывая или повреждая данные, на которые у непривилегированного процесса ещё есть ссылка.
Dirty Frag объединяет два отдельных дефекта:
- CVE-2026-43284 — затрагивает IPsec ESP (
esp4/esp6), присутствует во всех основных дистрибутивах с 2017 года - CVE-2026-43500 — затрагивает
rxrpc, актуален для систем с установленным пакетомkernel-modules-partner
Кого это касается
Уязвимость присутствует во всех современных ядрах Linux с поддержкой xfrm/ESP. Затронуты:
- AlmaLinux 8, 9, 10
- Rocky Linux, RHEL и производные
- Ubuntu, Debian и производные
Особую опасность уязвимость представляет для выделенных серверов и контейнеризированных окружений (Docker, LXC, Kubernetes) — она может позволить выполнить escape из контейнера на хост-систему.
Шаг 1. Временная защита — применить немедленно
Если обновить и перезагрузить сервер прямо сейчас невозможно, заблокируйте уязвимые модули ядра. На большинстве серверов, не использующих IPsec и AFS, это полностью безопасно:
echo 'install esp4 /bin/false' | sudo tee /etc/modprobe.d/dirtyfrag.conf
echo 'install esp6 /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc 2>/dev/null
Затем сбросьте page cache — это вытеснит любые потенциально повреждённые страницы памяти:
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'
Не применяйте эту меру, если ваш сервер активно использует IPsec ESP или AFS/rxrpc — эти сервисы перестанут работать. В таком случае приоритетом становится немедленное обновление ядра.
Чтобы отменить блокировку модулей:
sudo rm /etc/modprobe.d/dirtyfrag.conf
Шаг 2. Обновление ядра
Как только патч появится в репозиториях вашего дистрибутива — обновите ядро и перезагрузите сервер.
AlmaLinux (патч доступен в testing-репозитории):
sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot
Исправленные версии ядра:
- AlmaLinux 8:
kernel-4.18.0-553.123.2.el8_10и выше - AlmaLinux 9:
kernel-5.14.0-611.54.3.el9_7и выше - AlmaLinux 10:
kernel-6.12.0-124.55.2.el10_1и выше
Ubuntu / Debian:
sudo apt update && sudo apt upgrade linux-image-generic
sudo reboot
Rocky Linux / RHEL:
sudo dnf update kernel
sudo reboot
После перезагрузки проверьте версию ядра:
uname -r
Проверка — был ли установлен rxrpc
CVE-2026-43500 актуальна только при наличии пакета kernel-modules-partner. Проверить легко:
rpm -q kernel-modules-partner
Если пакет не установлен — уязвимость CVE-2026-43500 вас не касается.
Ссылки
- NVD: CVE-2026-43284
- Debian Security Tracker
- AlmaLinux Blog
- Публикация на oss-security
- Описание уязвимости от исследователя
- Апстрим-фикс ESP
- Фикс rxrpc
Помощь
Если у вас возникли вопросы или требуется помощь, пожалуйста, свяжитесь с нами через систему тикетов — мы обязательно вам поможем!