一、漏洞概述Dirty Frag 是最近爆出的 Linux 内核本地提权漏洞。该漏洞通过组合两个变种ESP 和 RxRPC能够在主流 Linux 发行版上获取 root 权限。这是继 Dirty Pipe (CVE-2022-0847) 和 Copy Fail (CVE-2026-31431) 之后同一漏洞模式通过 zero-copy/splice 进行 page cache 污染的延伸。1.1 核心原理在零拷贝发送路径上splice() 将攻击者只读的文件 page cache 页面直接注入到 struct sk_buff 的 frag 成员中接收端内核代码对该 frag 执行原地in-place加解密操作可以操纵 setuid 类型的文件的 page cache 在内存中被修改。1.2 与 Dirty Pipe / Copy Fail 的关系Dirty Frag 与 Dirty Pipe、Copy Fail 属于同一漏洞类但操作目标不同Dirty Pipe覆写 struct pipe_buffer。Copy Fail通过 AF_ALG 的 areq-tsgl 进行 scatterlist 链式写入。Dirty Frag覆写 struct sk_buff 的 frag 成员。三者的本质相同 —— 利用 splice 零拷贝机制将 page cache 页面注入内核网络路径利用内核对该页面的原地写入操作实现 page cache 污染。二、影响范围注意两个问题模块ESP / RxRPC是或的关系任何一个模块都能被利用。内核模块引入时间/补丁版本范围xfrm-ESP[2017] cac2661c53f34.11 ~ 7.0RxRPC[2023] 2dc334f1a63a6.5 ~ 7.0说明Anolis OS 内核默认只以 module 形式内置了 XFRM-ESP 模块未内置 RXRPC 模块因此只有 esp4/esp6 受影响。产品内核受影响状态备注Anolis OS 7ANCK 4.19受影响PoC 已验证缓解方案 #1 验证有效Anolis OS 8ANCK 5.10受影响PoC 已验证缓解方案 #1 验证有效Anolis OS 23ANCK 6.6受影响PoC 已验证缓解方案 #1 验证有效建议受影响用户请立即采用第三章中的缓解方案降低风险社区将持续跟进上游修复进展。三、缓解方案3.1 方案 #1禁用漏洞模块推荐卸载并禁止加载有漏洞的内核模块 esp4、esp6、rxrpc立即生效无需重启副作用会中断 IPsecVPN和 RxRPCAFS 文件系统请根据实际业务评估。1.检查系统是否内置有漏洞的内核模块zgrep -i RXRPC\|XFRM_ESP /proc/config.gzAnolis OS 4 输出示例表示只内置了 esp 模块rxrpc 模块未支持不受影响CONFIG_XFRM_ESPm # CONFIG_AF_RXRPC is not set2.禁止模块加载并卸载已加载模块执行以下命令即可sudo sh -c printf install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n /etc/modprobe.d/dirtyfrag.conf sudo rmmod esp4 esp6 rxrpc 2/dev/null || true该措施无需重启仅禁用相关内核模块。3.2 方案 #2限制 user namespace仅阻断 ESP 变种此方案只阻断 ESP 变种RxRPC 变种不需要 user namespace。注意可能影响容器运行时Docker/Podman rootless 模式、Flatpak 等。# 临时关闭立即生效 sysctl -w kernel.unprivileged_userns_clone0 # 永久生效 echo kernel.unprivileged_userns_clone 0 /etc/sysctl.conf四、修复方案目前上游 Linux 社区修复进展如下xfrm-ESP 模块修复补丁已合入 netdev next 分支commit并已合入 stable-6.6.138commit尚未合入 mainline 主线。RxRPC 模块修复补丁已提交社区 review 中补丁链接尚未被接收。Anolis OS 社区将持续跟进上游修复进展在补丁可用后第一时间评估并提供安全更新。建议用户在此前采用上述缓解方案降低风险。五、事件时间线日期事件2026-04-29RxRPC 补丁提交到公开的 netdev 邮件列表2026-04-30ESP 补丁提交到公开的 netdev 邮件列表漏洞信息已公之于众2026-05-03私有仓库 DirtyFrag-rxrpc-LPE 发布漏洞信息2026-05-04提交 shared-frag 方案补丁到公开 netdev私有仓库 DirtyFrag-esp-LPE 发布漏洞信息2026-05-07ESP 补丁合入 netdev 主线完整 exploit 文档提交到 linux-distros私下5 天 embargo第三方公开发布 exploit完整 Dirty Frag 文档被公开发布参考资料Dirty Frag PoC DocumentationRed Hat Security Vulnerability RHSB-2026-003Linux stable-6.6.138 ESP Fix CommitRxRPC Patch Submission