"Dirty Frag"漏洞(CVE-2026-43284) 是最近公开的 Linux 内核本地提权漏洞,影响大量 2017 年之后的内核版本。当前的修复分为两种:临时缓解 (马上做)和 安装官方补丁内核 (推荐最终方案)。(Tom's Hardware)
一、先确认是否受影响
大多数现代 Linux 发行版都可能受影响,包括:
-
Ubuntu
-
Debian
-
Fedora
-
RHEL
-
CentOS Stream
-
openSUSE
查看内核版本:
uname -r如果是 2017 之后的较新内核,基本建议直接做缓解。
二、立即缓解(官方目前最推荐)
漏洞主要涉及:
-
esp4 -
esp6 -
rxrpc
临时禁用这些模块即可显著降低风险。(Cyber Kendra)
执行:
sudo tee /etc/modprobe.d/disable-dirtyfrag.conf <<EOF
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF然后卸载已加载模块:
sudo modprobe -r esp4 esp6 rxrpc 2>/dev/null刷新缓存:
sudo sync
echo 3 | sudo tee /proc/sys/vm/drop_caches最后重启:
sudo reboot三、安装发行版最新安全更新(推荐)
很多发行版已经开始推送修复版内核。(NHS England Digital)
Ubuntu / Debian
sudo apt update
sudo apt full-upgrade
sudo reboot查看是否已升级:
uname -rRHEL / Rocky / AlmaLinux / CentOS
sudo dnf update kernel
sudo rebootFedora
sudo dnf upgrade
sudo rebootArch Linux
sudo pacman -Syu
sudo reboot四、检查模块是否真的禁用了
lsmod | egrep 'esp4|esp6|rxrpc'如果没有输出,说明已经成功禁用。
五、如果你使用 IPsec VPN,需要注意
禁用 esp4/esp6 会影响:
-
IPsec VPN
-
strongSwan
-
某些企业 VPN
禁用 rxrpc 会影响:
- AFS 文件系统
如果服务器依赖这些功能,需要:
-
尽快升级到发行版提供的修复内核
-
不要长期依赖模块禁用方案
六、企业服务器建议
如果是生产环境:
-
立刻限制普通用户 SSH 登录
-
检查是否存在 WebShell / 容器逃逸风险
-
更新所有容器宿主机内核
-
开启:
-
SELinux
-
AppArmor
-
auditd
-
-
尽快打内核补丁
因为 Dirty Frag 属于"本地提权",通常是攻击者先获得普通权限后再提 root。(Reddit)
七、一键临时修复脚本
sudo bash -c '
cat >/etc/modprobe.d/disable-dirtyfrag.conf <<EOF
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF
modprobe -r esp4 esp6 rxrpc 2>/dev/null || true
sync
echo 3 >/proc/sys/vm/drop_caches
'