Dirty Frag je ďalšia vážna linuxová chyba, ktorá môže dať lokálnemu používateľovi root práva

Po nedávnej chybe Copy Fail sa v Linux kerneli objavil ďalší vážny problém. Nová diera dostala názov Dirty Frag a opäť ide o lokálne zvýšenie oprávnení, pri ktorom môže bežný používateľ získať root práva. Problém je nepríjemný najmä tým, že verejný exploit sa objavil skôr, ako stihli distribúcie pripraviť koordinované opravy.

Dirty Frag nadväzuje na rovnakú triedu chýb, do ktorej patrí aj starší Dirty Pipe a aktuálny Copy Fail. Všetky pracujú s podobnou myšlienkou: útočník vie cez chybu v kerneli zasiahnuť do page cache, teda do pamäťovej kópie súborov, bez klasického zápisu na disk. Pri správnom zacielení to môže stačiť na získanie vyšších oprávnení. Dirty Frag bol podľa výskumníka Hyunwoo Kima nahlásený linuxovým správcom 30. apríla, no embargo sa malo prelomiť predčasne a exploit sa dostal von ešte pred bežným cyklom opráv.

Copy Fail otvoril problém už začiatkom mája

Dirty Frag prichádza len krátko po chybe Copy Fail, ktorá bola zverejnená 29. apríla a je evidovaná ako CVE-2026-31431. Tá sa týkala modulu algif_aead v kryptografickom rozhraní AF_ALG a mala CVSS skóre 7.8. Ubuntu vo svojom oznámení uviedlo, že chyba zasahovala všetky vydania pred Ubuntu 26.04 Resolute, pričom umožňovala lokálnemu používateľovi získať root práva.

Technicky šlo o problém v optimalizácii z roku 2017. Kernel pri práci s dátami cez splice() a kryptografické rozhranie nemusel vytvárať bezpečnú kópiu dát, ale pracoval s odkazmi na page cache. Výsledkom bol kontrolovaný zápis niekoľkých bajtov do pamäťovej kópie čitateľného súboru. Pri zacielení na setuid binárku, napríklad /usr/bin/su, to mohlo viesť k spusteniu upraveného kódu s root právami.

Dôležité je, že Copy Fail nebol vzdialený útok. Útočník musel mať možnosť spustiť kód priamo na stroji. Práve preto bol však problém vážny pre zdieľané servery, hostingy, kontajnerové prostredia, Kubernetes nody, CI/CD runner systémy a stroje, kde môžu bežať cudzie alebo menej dôveryhodné workloady. Ubuntu upozornilo aj na možné riziko pri kontajnerových nasadeniach, kde chyba môže pomôcť pri úniku z kontajnera, hoci v čase oznámenia ešte nebol publikovaný PoC pre takýto scenár.

Dirty Frag zasahuje inú časť kernela

Nový Dirty Frag nejde cez algif_aead, takže nestačí mitigácia pripravená pre Copy Fail. Namiesto toho sa týka ciest v IPsec ESP a rxrpc, konkrétne modulov esp4, esp6 a rxrpc. AlmaLinux uvádza, že chyba vzniká pri in-place dešifrovaní dát, keď kernel pracuje s paged fragmentmi, ktoré nie sú plne vlastnené kernelom. Pri zneužití môže lokálny používateľ opäť získať zápis do page cache a následne root práva.

Dirty Frag je navyše reťazením dvoch problémov. Prvý je CVE-2026-43284, ktorý pokrýva IPsec ESP časť cez esp4 a esp6. Druhý je CVE-2026-43500, ktorý sa týka rxrpc. AlmaLinux uvádza, že táto kombinácia dokáže obísť rozdiely medzi distribúciami. Tam, kde funguje cesta cez namespace a ESP, ide prvá časť. Na Ubuntu, kde môže byť vytváranie používateľských namespace blokované cez AppArmor, pomáha druhá časť cez RxRPC.

Zasiahnuté majú byť veľké linuxové distribúcie vrátane Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 a Fedora 44. Výskumník upozorňuje, že Dirty Frag funguje aj na systémoch, kde už bola aplikovaná mitigácia pre Copy Fail cez zablokovanie modulu algif_aead, pretože nový útok využíva iný kód kernela.

Opravy sa začínajú objavovať, no nie všade

Situácia sa mení veľmi rýchlo. AlmaLinux už pripravil opravené kernely v testovacích repozitároch pre AlmaLinux 8, 9 a 10. Pri AlmaLinux 9 a 10 sa uvádzajú aj konkrétne opravené verzie kernelov, no presun do produkčných repozitárov ešte v čase oznámenia závisel od testovania. CloudLinux zároveň informuje, že pre svoje vetvy pripravuje patche a livepatch riešenia.

Dočasná mitigácia spočíva v blokovaní modulov esp4, esp6 a rxrpc. To však nie je univerzálne bezbolestné riešenie. esp4 a esp6 sú používané pri IPsec tuneloch, takže ich vypnutie môže rozbiť systémy, ktoré terminujú alebo prenášajú IPsec, napríklad pri strongSwan alebo Libreswan. rxrpc sa používa najmä pri AFS, takže na bežných webových serveroch často nemusí byť problém, ale administrátori by mali najprv overiť, či tieto moduly naozaj nepotrebujú.

Amazon vo vlastnom bezpečnostnom upozornení uvádza, že DirtyFrag sa týka viacerých načítateľných modulov vrátane xfrm_user, esp4, esp6, ipcomp4 a ipcomp6. Riziko sa týka najmä systémov, ktoré umožňujú neprivilegovaným používateľom vytvárať sockety, pracovať cez CAP_NET_ADMIN alebo používať neprivilegované user namespace.

Pre bežných používateľov menší, no pre správcov serverov veľký problém

Dirty Frag ani Copy Fail samy o sebe neznamenajú, že útočník vie napadnúť ľubovoľný Linux stroj cez internet. V oboch prípadoch ide o lokálne zvýšenie oprávnení. Útočník teda najprv potrebuje nejaký prístup na systém, napríklad používateľský účet, kompromitovaný web, kontajner, CI job alebo inú možnosť spustiť kód.

Pre domáci desktop je to menej dramatický scenár, hoci update kernela je stále najlepšie riešenie. Pre servery, hostingy, cloudové prostredia a vývojársku infraštruktúru je situácia vážnejšia. Ak na stroji bežia cudzie workloady alebo naň majú prístup viacerí používatelia, lokálna chyba na root práva môže zmeniť menší incident na úplné ovládnutie systému.

Administrátori by preto mali sledovať bezpečnostné oznámenia svojej distribúcie, čo najskôr nainštalovať opravený kernel a reštartovať systém. Kým oprava nie je dostupná, treba zvážiť dočasné blokovanie rizikových modulov, ale len po overení, že server nepoužíva IPsec, AFS alebo iné služby závislé od týchto častí kernela.