Linux内核高危漏洞曝光 多发行版受影响 临时缓解方案发布

2025年5月8日，Linux安全领域再次拉响高危警报。继Copy Fail漏洞引发广泛关注后，一个同样严重的本地权限提升漏洞——Dirty Frag被公开披露，对全球Linux系统安全构成严峻挑战。

该漏洞的利用机制与Copy Fail存在相似性：任何获得本地访问权限的用户，通过执行特定的利用程序，即可在瞬间将自身权限提升至系统最高root级别。其核心威胁在于，Dirty Frag本质上是一个逻辑型漏洞，不依赖于苛刻的系统环境或精确的时间窗口，利用过程稳定且直接，大大降低了攻击门槛。

漏洞影响范围极为广泛，近乎波及所有主流Linux环境。自2017年相关代码引入后，包括Ubuntu 24.04 LTS、26.04 LTS、Arch Linux、Red Hat Enterprise Linux (RHEL)、openSUSE、CentOS Stream、Fedora、AlmaLinux在内的绝大多数发行版均受影响。甚至微软的Windows Subsystem for Linux 2 (WSL2) 也被证实存在攻击风险。可以说，目前正在运行的Linux服务器与工作站普遍暴露于此漏洞之下。

从技术根源分析，Dirty Frag漏洞源于Linux内核IPSec子系统中的一个零拷贝操作缺陷。它实际上由两个可被链式触发的漏洞构成：其一是2017年引入的xfrm-ESP Page Cache Write漏洞（内核提交cac2661c53f3），其二是RxRPC Page-Cache Write漏洞（内核提交2dc334f1a63a）。攻击者通过组合利用这两个漏洞，最终完成权限提升。

一个值得注意的细节是，由于Ubuntu系统默认启用的AppArmor安全框架会拦截第一个漏洞的利用路径，公开的漏洞验证代码具备智能绕过能力，会自动转向链式触发第二个漏洞来完成提权，这显示了当前攻击代码的高度适应性。

此次漏洞的披露过程颇具波折。安全研究人员于4月30日向Linux内核安全团队进行了负责任的报告，但相关保密协议被无关第三方意外打破，导致漏洞的详细技术分析及利用代码在官方修复补丁尚未就绪前便被提前公开。这种“0day”状态下的公开披露，极大地缩短了攻击窗口，增加了系统被实际攻击的风险。

截至目前，Linux内核主线尚未发布针对此漏洞的官方修补程序。这使得Dirty Frag在当前阶段构成的现实威胁，甚至超过了此前已被广泛讨论的Copy Fail漏洞。

在官方补丁发布之前，系统管理员应采取临时缓解措施以降低风险。核心方案是禁用与漏洞相关的三个内核模块：`esp4`、`esp6` 和 `rxrpc`。这些模块主要负责IPSec加密通信功能，对于绝大多数不依赖IPSec协议的企业服务器和应用程序而言，禁用它们通常不会影响核心业务运行。管理员可以通过执行以下命令快速实施缓解：

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"