Linux 内核Dirty Frag漏洞曝光：零拷贝路径再出高危提权，POC已公开全体发行版无补丁

2026年5月7日，韩国安全研究员Hyunwoo Kim（网名@v4bel）在GitHub上公开了Linux内核最新本地提权漏洞"Dirty Frag"的完整POC，任何人仅凭单行命令即可完成编译与执行。由于协调披露过程中遭第三方抢跑，官方embargo于当日被打破，导致各Linux发行版均未能按计划完成backport补丁，截至目前所有发行版内核仍处于无补丁状态，CVE编号亦尚未分配。

Dirty Frag与此前广为人知的Dirty Pipe（CVE-2022-0847）及Copy Fail属于同一漏洞类——零拷贝发送路径上，splice()系统调用将攻击者仅有读权限的page cache页直接钉入struct sk_buff的frag槽，而接收侧内核代码对该frag执行原地加解密操作，致使只读page cache被意外写入。该漏洞可通过两条独立路径触发：其一是IPsec ESP模块（约9年历史，自2017年起受影响），需创建用户命名空间的权限方可将/usr/bin/su替换为恶意程序；其二是RxRPC协议模块（自2023年起受影响），可直接清空/etc/passwd中root的密码字段，完全无需任何特殊权限。两条利用路径相互覆盖彼此的限制，使得单一攻击程序几乎可在所有主流发行版上通用。

上游Linux内核已于5月7日合并了针对ESP模块的修复补丁，但RxRPC模块的补丁至今未合。安全研究员于4月29日向[email protected]提交漏洞与补丁，5月7日向linux-distros提交并设定5天embargo期限，但当日即被第三方打破。目前官方建议的临时缓解措施为通过modprobe禁用相关模块：安装esp4/esp6/rxrpc并将其指向/bin/false。对于Arch系用户，公告中写道"赶紧去滚吧"——暗示滚动更新模型或能更快获得上游补丁。