這篇文章將為工程師詳細解析近期 Linux 核心中出現的兩組重大漏洞:Copy Fail 與 Dirty Frag。這兩者都屬於本地權限提升(Local Privilege Escalation, LPE)漏洞,意味著一個沒有權限的普通使用者,可以在不需要密碼的情況下,直接取得系統最高權限(Root)。
這類漏洞的核心問題在於 Linux 的 Page Cache 機制。Page Cache 是 Linux 核心用來快取磁碟檔案內容的記憶體區域,目的是減少對硬碟的讀寫以提升效能。由於 Page Cache 是全域共享的,如果攻擊者能繞過權限檢查,直接將資料寫入 Page Cache 中某個重要檔案(例如系統設定檔或具有 setuid 權限的執行檔)的快取區,那麼當系統後續讀取該檔案時,就會讀到被篡改的內容,從而導致權限被奪取。
這種攻擊模式與 2022 年著名的 Dirty Pipe 漏洞非常相似,都是利用核心邏輯缺陷來達成非法寫入快取的目的。
Copy Fail:利用加密模組的邏輯漏洞
Copy Fail (CVE-2026-31431) 的問題出在核心的加密子系統(crypto/),具體是在 algif_aead 這個模組中。這個漏洞源於 2017 年為了優化效能而引入的一段原地更新(in-place optimisation)程式碼。
攻擊者可以利用 AF_ALG(Linux 核心提供的加密 API 介面)建立 Socket,並使用 splice 系統呼叫將資料注入。由於邏輯錯誤,攻擊者能將少量資料寫入他們原本沒有權限修改的檔案快取中。
這個漏洞極其危險,因為 AF_ALG 在幾乎所有主流發行版(如 Ubuntu, RHEL, Amazon Linux)中預設都是開啟的。攻擊者只需要一個普通使用者帳號,無需網路存取或除錯權限,即可在短時間內取得 Root 權限。
Dirty Frag:多路徑組合攻擊
Dirty Frag 則是由研究員 Hyunwoo Kim 發現的漏洞組合,包含 CVE-2026-43284 與 CVE-2026-43500。它不像 Copy Fail 只有單一路徑,而是透過兩個不同的模組來互補漏洞覆蓋範圍。
第一路徑是 xfrm-ESP(處理 IPsec 加密傳輸的模組)。它能提供強大的 4 位元組寫入能力,但觸發它需要建立使用者命名空間(User Namespace)的權限。在某些 Ubuntu 版本中,AppArmor 安全策略會封鎖這個行為,導致此路徑失效。
第二路徑是 RxRPC(一種遠端過程呼叫機制)。它不需要命名空間權限即可觸發,但問題在於大多數發行版預設不會載入 rxrpc.ko 模組。然而,Ubuntu 恰恰預設載入此模組。
透過這兩個路徑的組合,Dirty Frag 成功彌補了彼此的盲點,使得幾乎所有主流 Linux 發行版都處於風險之中。而且與許多依賴競態條件(Race Condition,即必須在極短時間內精準觸發)的漏洞不同,Dirty Frag 是確定性的邏輯錯誤,成功率極高且不會導致系統崩潰。
為什麼這些漏洞能潛伏這麼多年
這類漏洞之所以能躲過審查,是因為開發者在審核加密子系統(如 IPsec 或 AEAD)時,關注焦點通常在於密碼學的正確性,例如是否能抵抗側信道攻擊(Side-channel resistance)或是否符合加密標準。
然而,這些審核過程忽略了記憶體管理層面的問題:即資料從哪裡來,以及核心是否應該允許將這些資料直接寫入快取。這種維度上的審查缺失,讓邏輯漏洞在核心中生存了多年。
對容器化環境的衝擊
對於運行 Kubernetes 或使用 Docker 的工程師來說,這類漏洞帶來了嚴重的結構性風險。
Linux 容器(Container)共享同一個核心。雖然命名空間(Namespace)可以隔離路徑和網路,但無法隔離 Page Cache。如果一個容器內的攻擊者利用 Copy Fail 或 Dirty Frag 修改了主機上的 Page Cache,這個影響會直接波及主機上所有的其他容器。
因此,如果你的環境中執行了不可信的第三方代碼(例如 CI/CD Runner 或 AI Agent 執行的 Shell 指令),僅靠標準容器隔離是不夠的。建議改用微型虛擬機(microVM)如 Firecracker,或是使用者空間核心如 gVisor,以實現真正的核心級隔離。
修補與緩解方案
針對 Copy Fail,最根本的解決辦法是更新核心,撤銷 2017 年引入的優化程式碼。在無法立即更新前,可將 algif_aead 模組加入黑名單(Blacklist),並使用 seccomp 設定封鎖 AF_ALG Socket 的建立。
針對 Dirty Frag,建議將 esp4, esp6, rxrpc 三個模組加入黑名單並清除 Page Cache。但請注意,如果你的伺服器有使用 IPsec (StrongSwan) 或 AFS (RxRPC),禁用這些模組會導致相關服務失效,請在操作前評估業務影響。
來源:infoq.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。