Новая уязвимость Dirty Frag в Linux позволяет локальному атакующему получить root-доступ — права суперпользователя — на большинстве крупных дистрибутивов. Исследователь Хёнву Ким раскрыл проблему после срыва эмбарго на публикацию и выпустил техническое описание с проверочным кодом.
Риск касается прежде всего серверов, рабочих станций разработчиков, корпоративных ноутбуков и облачных Linux-систем. Если злоумышленник уже получил обычную учётную запись или запустил вредоносную программу на машине, Dirty Frag может помочь ему захватить полный контроль.
Что известно о Dirty Frag
Dirty Frag относится к классу zero-day (уязвимость нулевого дня) — проблем, о которых стало известно до появления готовых исправлений у всех поставщиков. По данным BleepingComputer, баг появился в ядре Linux примерно девять лет назад в интерфейсе криптографических алгоритмов algif_aead.
Атака строится на связке двух ошибок записи в page cache — механизме, через который ядро работает с данными файлов в памяти. Первая связана с xfrm-ESP и получила идентификатор CVE-2026-43284, вторая относится к RxRPC и получила CVE-2026-43500.
В практическом смысле это опасно потому, что атакующий может менять защищённые системные файлы в памяти без разрешения. Так он повышает права с обычного пользователя до суперпользователя.
Почему локальная уязвимость всё равно опасна
Dirty Frag не даёт атакующему войти на сервер «из интернета» сама по себе. Ему сначала нужен локальный доступ: украденный пароль, скомпрометированная учётная запись, вредоносный скрипт, уязвимый веб-сервис или ошибка в настройках контейнера.
Но после первичного проникновения такие баги часто решают исход атаки. Обычная учётная запись ограничивает злоумышленника, root-доступ снимает почти все барьеры: можно читать чужие файлы, менять настройки безопасности, ставить скрытые компоненты и закрепляться в системе.
Для компаний это риск утечки данных, простоя сервисов и последующего движения по сети. Для частных пользователей Linux — риск кражи SSH-ключей, токенов разработчика, резервных копий и файлов браузера. Похожую логику мы разбирали на примере утечки ключей API в материале про уязвимость Ollama: один технический дефект быстро превращается в проблему доступа к данным.
Какие системы попали в зону риска
Исследователь указывает, что Dirty Frag затрагивает широкий круг популярных Linux-дистрибутивов. В списке названы Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed и Fedora.
На момент раскрытия поставщики ещё не выпустили исправления для всех затронутых систем. Публикация ускорилась из-за того, что 7 мая 2026 года сторонний участник независимо выложил код атаки, нарушив прежний график закрытого уведомления разработчиков.
Dirty Frag сравнивают с Dirty Pipe и Copy Fail — другими уязвимостями повышения привилегий в Linux. Ким подчёркивает, что новый баг не зависит от гонки потоков и не требует точного попадания во временное окно. Это повышает надёжность атаки и снижает шанс, что ядро аварийно завершит работу при неудачной попытке.
Чем Dirty Frag отличается от обычных сбоев
Важно не путать уязвимость ядра с бытовыми проблемами связи или приложений. Запросы вроде «не работает мобильный интернет в ростове» или «не работает мобильный интернет мтс сегодня почему» чаще связаны с сетью оператора, настройками телефона, перегрузкой базовой станции или аварией у провайдера.
Dirty Frag — другая история. Она проявляется не как медленная загрузка страниц, а как риск скрытого повышения прав внутри Linux-системы. Пользователь может вообще не увидеть симптомов: атакующий, получив root-доступ, заинтересован не в заметном сбое, а в тихом контроле.
Такая же разница есть между обычным обновлением ОС и исправлением критической уязвимости. Обновление может менять интерфейс, драйверы и поведение приложений, но патч ядра закрывает путь к захвату системы. Почему обновления стоит оценивать не только по удобству, мы писали в разборе про новые сборки Windows 11.
Что делают администраторы до выхода патчей
Публичное описание Dirty Frag включает временные меры: администраторы могут отключить уязвимые модули ядра esp4, esp6 и rxrpc. Но это решение подходит не всем: оно может сломать часть защищённых сетевых подключений на базе IPsec и распределённые сетевые файловые системы AFS.
Поэтому такие меры нужно сначала проверить на тестовом сервере или хотя бы оценить зависимые сервисы. На критичных системах слепое отключение модулей иногда создаёт не меньший операционный риск, чем сама уязвимость.
Для рабочих ноутбуков и серверов важен базовый слой защиты: минимальные права пользователей, запрет лишних учётных записей, контроль запуска скриптов, журналирование и быстрая установка обновлений. В публичных сетях — например, в аэропорту или коворкинге — для защиты соединения и приватности данных уместен сервис безопасного интернет-соединения, но он не заменяет патчи ядра и настройку прав в системе.
Практический вывод: что проверить сейчас
- Узнайте, какие Linux-дистрибутивы и версии ядра стоят на серверах, рабочих станциях и в облачных образах.
- Проверьте бюллетени Ubuntu, Red Hat Enterprise Linux, Fedora, AlmaLinux, openSUSE и других поставщиков, которыми вы пользуетесь.
- Установите обновления ядра сразу после выхода патчей для вашей системы.
- До патча оцените временное отключение модулей esp4, esp6 и rxrpc, но только после проверки влияния на сетевые сервисы.
- Проверьте, кому выданы локальные учётные записи и права sudo; удалите лишние доступы.
- Посмотрите журналы входа, запуска подозрительных процессов и изменений системных файлов за последние дни.
- Не запускайте чужие команды и скрипты из форумов, чатов и репозиториев без проверки источника.
- Для домашних Linux-систем включите автоматические уведомления об обновлениях и не откладывайте перезагрузку после обновления ядра.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.