Ez az oldal a közösségért készül. 
Kövess minket máshol is: 
Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát 
Egy héttel a Copy Fail után Hyunwoo Kim kutató nyilvánosságra hozott egy második, ugyanebbe a tágabb területbe tartozó Linux kernel hibát — az IPsec ESP-t és az rxrpc-t érinti —, amelyet Dirty Fragnek nevezett el. A hiba az
esp4
,
esp6
és
rxrpc
helyben történő visszafejtésre szolgáló gyors útvonalaiban található: ha egy socket buffer olyan lapozott töredékeket tartalmaz, amelyek nem a kernel kizárólagos tulajdonában vannak (például
splice(2)
/
sendfile(2)
/
MSG_SPLICE_PAGES
segítségével csatolt pipe-oldalak), akkor a fogadási útvonal közvetlenül ezeken a külső háttértárolású oldalakon végzi el a visszafejtést. Így olyan nyílt szöveg kerülhet ki, vagy sérülhet meg, amelyre egy jogosulatlan folyamat még mindig hivatkozik.
Az előző Copy Fail sebezhetőséghez hasonlóan a Dirty Frag is azonnal root jogosultságot ad minden jelentős disztribúción. Minden támogatott AlmaLinux kiadás érintett. A Dirty Frag két különálló kernel hibát fűz össze, mindkettő saját CVE-azonosítóval: az CVE-2026-43284 az IPsec ESP részt fedi le (
esp4
/
esp6
), a CVE-2026-43500 (az NVD-bejegyzés még függőben) pedig az
rxrpc
részt. Hyunwoo Kim oss-security listán közzétett nyilvános bejelentése (2026-05-07) szerint a felelős közzétételre vonatkozó embargót még azelőtt megszegték, hogy a disztribúciók össze tudták volna hangolni a lépéseiket, és már elérhető egy működő exploit is. Egy második nyilvános exploit, a Copy Fail 2: Electric Boogaloo ugyanezt a sebezhetőséget célozza más néven; mindkettő ugyanazokon az
esp4
/
esp6
/
rxrpc
kódútvonalakon keresztül jut rootig, és ugyanaz a javítás blokkolja őket.
Ha Linux-ot futtatsz több bérlős hoston, konténer build farmon, CI futtatón, vagy bármilyen rendszeren, ahol nem megbízható felhasználók shellhez juthatnak, akkor ez különösen fontos — és mivel már kint van a nyilvános exploitkód, ez ma is az.
További információk a sebezhetőségről:
- NVD-bejegyzés (ESP, CVE-2026-43284): https://nvd.nist.gov/vuln/detail/CVE-2026-43284
- Az rxrpc rész követése CVE-2026-43500 alatt történik (az NVD-bejegyzés közzététele még függőben)
- Nyilvános bejelentés az oss-security listán: https://www.openwall.com/lists/oss-security/2026/05/07/8
- A kutató összefoglalója: https://dirtyfrag.io
- Upstream javítás az ESP-hez: https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4
- rxrpc javítás a netdev listán: https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/
Ideiglenes kockázatcsökkentés, ha még nem tudsz újraindítani
Ha most nem megoldható a frissítés és az újraindítás, az érintett modulok tiltólistára tételével semlegesítheted a támadási felületet. Az
esp4
,
esp6
és
rxrpc
modulok jellemzően nem töltődnek be olyan átlagos használat mellett, ahol nem használsz IPsec transport módot vagy AFS-t, ezért a legtöbb rendszeren ez azonnal, biztonságosan alkalmazható:
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Ez létrehoz egy
modprobe
konfigurációt, amely megakadályozza a három modul betöltését, és ki is tölti őket, ha esetleg már betöltődtek (az
rmmod
„best effort” módon fut, és csendben marad, ha a modul nincs jelen). A parancs változtatás nélkül biztonságosan futtatható minden támogatott kiadáson. Visszavonáshoz töröld a
/etc/modprobe.d/dirtyfrag.conf
fájlt.
A Dirty Frag exploit úgy működik, hogy érzékeny fájlok (például
/etc/passwd
vagy
/usr/bin/su
) page-cache oldalait megrongálja. Ha azt gyanítod, hogy a rendszer már célpont lehetett, mielőtt alkalmaztad a kockázatcsökkentést, ürítsd a page cache-t, hogy minden módosított oldal kikerüljön a cache-ből, és a következő olvasás már frissen, lemezről történjen:
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'
Ez élő rendszeren is biztonságosan futtatható — csak a tiszta cache-t, valamint a dentry/inode bejegyzéseket szabadítja fel —, és jól kiegészíti a fenti tiltólistát.
Ne hagyatkozz erre, ha ténylegesen használsz IPsec ESP-t vagy AFS/rxrpc-t — ezek a terhelések el fognak romlani. A megfelelő javítás a javított kernel telepítése és a rendszer újraindítása.
Köszönet
Köszönjük Hyunwoo Kimnek, hogy megtalálta, felelősen bejelentette és dokumentálta ezt a sebezhetőséget, valamint Steffen Klassertnek, hogy végigvitte az upstream javítást a netdev fában.
Köszönjük az AlmaLinux core csapatának, hogy az upstream javítás beérkezése után egy napon belül minden támogatott kiadáshoz elkészítették a javított buildeket, valamint az ALESCo-nak, hogy gyorsan jóváhagyták a szállítást még az upstream előtt. Előre is köszönjük a közösség minden tagjának, aki segít tesztelni ezeket a kernelokat — ettől kerülhetnek biztonságosan éles környezetbe.
Változásnapló
- 2026-05-08 11:27 UTC — Az AlmaLinux 10-en a meglévő CVE-2026-43284 (ESP) javítás mellé hozzáadták a CVE-2026-43500 (rxrpc) javítását is; az egyesített kernel tesztelésre megjelent az alábbi verzióval:
kernel-6.12.0-124.55.3.el10_1
- . Pontosították az érintett verziókat: az AlmaLinux 8-at csak a CVE-2026-43284 érinti (nem szállítanak
rxrpc
- modult); az AlmaLinux 9-et és 10-et a CVE-2026-43500 csak akkor érinti, ha telepítve van a Devel tárolóból a
kernel-modules-partner
- .
- 2026-05-08 10:04 UTC — Kiosztották a CVE-2026-43500 azonosítót a Dirty Frag rxrpc részéhez.
- 2026-05-08 09:06 UTC — Feljegyezték, hogy a nyilvános „Copy Fail 2: Electric Boogaloo” exploit ugyanazt a sebezhetőséget célozza, és ugyanaz a javítás blokkolja.
- 2026-05-08 08:28 UTC — Kiosztották a CVE-2026-43284 azonosítót a Dirty Fraghez.
