Linux内核“Dirty Frag”漏洞(CVE-2026-43284)修复方案

"Dirty Frag"漏洞(CVE-2026-43284) 是最近公开的 Linux 内核本地提权漏洞,影响大量 2017 年之后的内核版本。当前的修复分为两种:临时缓解 (马上做)和 安装官方补丁内核 (推荐最终方案)。(Tom's Hardware)

一、先确认是否受影响

大多数现代 Linux 发行版都可能受影响,包括:

  • Ubuntu

  • Debian

  • Fedora

  • RHEL

  • CentOS Stream

  • openSUSE

查看内核版本:

复制代码
uname -r

如果是 2017 之后的较新内核,基本建议直接做缓解。


二、立即缓解(官方目前最推荐)

漏洞主要涉及:

  • esp4

  • esp6

  • rxrpc

临时禁用这些模块即可显著降低风险。(Cyber Kendra)

执行:

复制代码
sudo tee /etc/modprobe.d/disable-dirtyfrag.conf <<EOF
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF

然后卸载已加载模块:

复制代码
sudo modprobe -r esp4 esp6 rxrpc 2>/dev/null

刷新缓存:

复制代码
sudo sync
echo 3 | sudo tee /proc/sys/vm/drop_caches

最后重启:

复制代码
sudo reboot

三、安装发行版最新安全更新(推荐)

很多发行版已经开始推送修复版内核。(NHS England Digital)

Ubuntu / Debian

复制代码
sudo apt update
sudo apt full-upgrade
sudo reboot

查看是否已升级:

复制代码
uname -r

RHEL / Rocky / AlmaLinux / CentOS

复制代码
sudo dnf update kernel
sudo reboot

Fedora

复制代码
sudo dnf upgrade
sudo reboot

Arch Linux

复制代码
sudo pacman -Syu
sudo reboot

四、检查模块是否真的禁用了

复制代码
lsmod | egrep 'esp4|esp6|rxrpc'

如果没有输出,说明已经成功禁用。


五、如果你使用 IPsec VPN,需要注意

禁用 esp4/esp6 会影响:

  • IPsec VPN

  • strongSwan

  • 某些企业 VPN

禁用 rxrpc 会影响:

  • AFS 文件系统

如果服务器依赖这些功能,需要:

  1. 尽快升级到发行版提供的修复内核

  2. 不要长期依赖模块禁用方案


六、企业服务器建议

如果是生产环境:

  • 立刻限制普通用户 SSH 登录

  • 检查是否存在 WebShell / 容器逃逸风险

  • 更新所有容器宿主机内核

  • 开启:

    • SELinux

    • AppArmor

    • auditd

  • 尽快打内核补丁

因为 Dirty Frag 属于"本地提权",通常是攻击者先获得普通权限后再提 root。(Reddit)


七、一键临时修复脚本

复制代码
sudo bash -c '
cat >/etc/modprobe.d/disable-dirtyfrag.conf <<EOF
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF

modprobe -r esp4 esp6 rxrpc 2>/dev/null || true
sync
echo 3 >/proc/sys/vm/drop_caches
'

相关推荐
zhz52143 小时前
Nginx + OpenSSL 自签名证书配置:优劣总结
运维·nginx
jsons13 小时前
rocky8内网离线批量补丁(你之前搭建的架构,多台服务器首选,无订阅)
linux·运维·服务器
进击切图仔3 小时前
SAM3 微调标注流水线和 Label Studio
java·服务器·前端
Bomangedd3 小时前
NSK RA25BN 滚子直线导轨技术详解
运维·服务器·经验分享·规格说明书
阿拉斯攀登3 小时前
SPI 设备驱动开发
linux·驱动开发·嵌入式硬件·linux内核·嵌入式·linux驱动·spi
2301_780303903 小时前
DevSecOps建设之自动化集成与部署 Jenkins教程和使用案例
运维·自动化·jenkins
zhou135284822674 小时前
Windows 配置 WSL (Ubuntu) 环境完整指南
linux·windows·ubuntu
本尊是喵4 小时前
AutoDL--FileZilla--VS Code远程连接
运维·服务器
FREEDOM_X4 小时前
Linux 进程间通讯(IPC)——总结
linux·c语言·前端·嵌入式硬件·struts
天空'之城4 小时前
Linux 系统编程 17:零拷贝技术全解
linux·嵌入式·零拷贝技术全解