漏洞修復 on KnightLi的博客

近期四個 Linux 本地提權漏洞影響梳理：Copy Fail、Dirty Frag、Fragnesia 與 ssh-keysign-pwn

Wed, 20 May 2026 23:00:37 +0800

最近 Linux 生態連續出現幾起高關注度的本地安全問題。單獨看，它們分別落在加密介面、網路/IPsec 路徑、頁快取處理、ptrace 存取檢查等不同位置；放在一起看，真正值得警惕的是同一個結論：只要攻擊者已經拿到低權限本地執行點，Linux 宿主機、容器節點、CI 機器和多使用者伺服器的風險都會被明顯放大。

本文重點不複述每個漏洞的技術細節，而是整理它們對實際環境的影響，並給出站內四篇單獨分析文章作為延伸閱讀。

四次事件分別影響什麼

近期最需要關注的四個風險是：

Copy Fail（CVE-2026-31431）：低權限本地使用者可能透過內核加密相關路徑影響頁快取，進而擴大權限。
Dirty Frag（CVE-2026-43284 / CVE-2026-43500 相關）：風險集中在 xfrm/ESP、RxRPC 等網路和內核資料路徑，後滲透階段危害很高。
Fragnesia（CVE-2026-46300）：與 Dirty Frag 相近，同樣圍繞 XFRM ESP-in-TCP、共享 fragment 和頁快取寫入風險展開。
ssh-keysign-pwn（CVE-2026-46333）：不是直接 root shell 類型漏洞，而是本地資訊洩露風險，可能讀取 SSH 主機私鑰、/etc/shadow 等敏感檔案。

這四類問題的入口不同，緩解方式也不完全一樣。不能因為處理了 Copy Fail，就預設 Dirty Frag 和 Fragnesia 也安全；也不能因為禁用了某些網路模組，就認為 ssh-keysign-pwn 的資訊洩露風險自動消失。

Copy Fail：容器和 CI 節點優先級很高

Copy Fail 的關鍵影響不是「某個應用崩潰」，而是低權限執行能力可能被轉化為 root 權限。它對以下環境尤其敏感：

允許使用者上傳或執行程式碼的 CI/CD 節點。
託管不可信工作負載的容器宿主機。
開發測試機、跳板機、共享伺服器。
執行舊內核且補丁節奏較慢的雲主機。

Copy Fail 的危險點在於攻擊門檻偏低，而且容易和容器場景疊加。很多團隊把容器當作強隔離邊界，但普通容器預設仍共享宿主機內核。如果攻擊者能在容器內取得 shell，內核本地提權就可能把容器問題放大為宿主機問題。

詳細分析見站內文章：Copy Fail 漏洞 CVE-2026-31431：Linux 內核檔案複製路徑中的容器逃逸風險。

Dirty Frag：後滲透階段的放大器

Dirty Frag 更像是攻擊者進入系統後的權限放大工具。它不是典型的遠端無認證漏洞，前提通常是攻擊者已經透過弱密碼、WebShell、低權限服務帳號、容器任務或其他方式取得本地執行能力。

它的實際影響主要體現在：

已被入侵的低權限帳號可能進一步變成 root。
容器環境中的低權限執行點可能威脅宿主機。
使用 IPsec、ESP、RxRPC 或相關內核網路能力的系統需要謹慎評估補丁和臨時緩解。
安全團隊不能只看邊界防護，還要關注入侵後的提權鏈條。

Dirty Frag 提醒運維團隊：本地提權漏洞雖然不是第一入口，卻可能決定一次入侵最終能走多遠。只要存在低權限落點，攻擊者就會尋找內核漏洞把權限推到最高。

詳細分析見站內文章：Dirty Frag CVE-2026-43284：Linux 本地提權漏洞風險與緩解指南。

Fragnesia：同類攻擊面沒有一次性清乾淨

Fragnesia 的重要性在於，它說明 Dirty Frag 附近的攻擊面並不是一個孤立問題。即使某個漏洞被修復，相鄰路徑、相似資料結構、相同模組組合裡仍可能存在新的可利用點。

它對運維的影響主要是：

不能只按漏洞名稱做一次性處置，要按攻擊面持續檢查。
esp4、esp6、rxrpc、XFRM、ESP-in-TCP 等相關路徑需要結合業務依賴評估。
如果系統不依賴相關網路能力，可以考慮臨時禁用，但必須先在測試環境確認不會影響 VPN、IPsec、隧道或內部網路功能。
頁快取污染類風險可能帶來「看似檔案沒改，實際執行路徑受影響」的檢測盲點。

Fragnesia 對企業最大的提醒是：補丁管理不能只盯單個 CVE。更穩妥的做法是圍繞子系統和攻擊面建立清單，確認哪些機器暴露相關能力，哪些業務真正需要這些模組。

詳細分析見站內文章：Fragnesia (CVE-2026-46300)：Linux 內核本地提權漏洞影響與緩解。

ssh-keysign-pwn：不直接 root，也足夠危險

ssh-keysign-pwn 與前三個漏洞的性質不同。它更偏向本地敏感資訊洩露，不是直接拿 root shell 的漏洞。但在真實攻擊中，敏感資訊洩露常常能變成更嚴重的後果。

它的影響重點包括：

SSH host private keys 洩露後，可能影響主機身分可信度。
/etc/shadow 等檔案被讀取後，可能引發離線破解和帳號接管。
多使用者伺服器、跳板機、建置機、共享開發機風險更高。
即使攻擊者沒有立刻提權，也可能拿到後續橫向移動需要的憑據材料。

這類問題容易被低估，因為它沒有「直接 root shell」那麼刺激。但對企業環境來說，密鑰和密碼雜湊洩露往往意味著更長週期的清理：輪換 SSH 主機密鑰、排查信任關係、檢查帳號密碼、審計登入日誌，都可能成為必要動作。

詳細分析見站內文章：ssh-keysign-pwn（CVE-2026-46333）解讀：Linux 本地資訊洩露、SSH 主機密鑰與 /etc/shadow 風險。

共同影響：容器隔離不能再被當作強邊界

這四次事件合在一起，最直接的影響是重新提醒大家：普通容器隔離不是虛擬機隔離。

Docker、containerd 和 Kubernetes 依賴 namespace、cgroup、capabilities、seccomp、AppArmor 或 SELinux 等機制減少攻擊面，但它們通常仍共享宿主機內核。只要漏洞發生在共享內核裡，容器內的低權限執行點就可能成為攻擊入口。

高風險環境應重點檢查：

是否允許不可信程式碼執行在共享宿主機上。
容器是否預設 root 使用者執行。
是否授予了不必要的 capabilities。
seccomp 配置是否過寬。
多租戶工作負載是否應該遷移到 gVisor、Kata Containers、Firecracker microVM、獨立虛擬機或專用節點。

對 CI/CD 平台尤其要謹慎。建置任務天然會執行外部程式碼、依賴安裝腳本、測試腳本和臨時二進位。如果這些任務與長期服務共享宿主機，一次本地提權就可能影響更大的基礎設施。

共同影響：補丁必須落到「正在執行的內核」

Linux 內核補丁有一個很常見的誤區：套件管理器顯示已經更新，不代表機器正在執行新內核。

運維上至少要確認三件事：

`1`	`uname -a`

確認目前執行內核版本。

`1`	`dpkg -l \| grep linux-image`

或在 RHEL 系發行版上：

`1`	`rpm -qa \| grep kernel`

確認已安裝內核套件。

最後，還要確認機器已經重啟到修復後的內核。對不能重啟的核心業務，要評估 livepatch、熱補丁或短期隔離方案，但不要把臨時緩解當作最終修復。

共同影響：攻擊面最小化要具體到模組和系統呼叫

這幾次漏洞涉及的路徑提醒我們，Linux 加固不能只停留在「更新系統」和「開防火牆」。

更具體的檢查方向包括：

AF_ALG / algif_aead 是否被業務使用。
XFRM、ESP、ESP-in-TCP、IPsec 是否被 VPN、隧道或安全閘道依賴。
RxRPC 是否需要啟用。
非特權使用者命名空間是否必須開放。
容器是否能建立過寬的 socket 類型。
ptrace 存取策略是否過鬆。

如果業務確實不需要某些能力，可以評估禁用模組、調整 sysctl、收緊 seccomp、減少 capabilities。生產環境不要盲目複製命令，應先盤點依賴，再灰度執行。

建議的處置順序

第一，優先修復可本地執行程式碼的高暴露機器：

容器宿主機。
CI/CD runner。
跳板機。
多使用者伺服器。
對外服務所在主機。
執行不可信插件、腳本、擴充的系統。

第二，確認發行版公告和實際執行內核。不要只看上游版本號，Debian、Ubuntu、RHEL、AlmaLinux、Rocky Linux、SUSE、openEuler 等發行版可能會 backport 安全補丁。

第三，收緊容器執行策略。盡量做到非 root 使用者、最小 capabilities、no-new-privileges、唯讀檔案系統、明確 seccomp 和 AppArmor/SELinux 策略。

第四，檢查密鑰和憑據風險。尤其是涉及 ssh-keysign-pwn 的環境，應評估 SSH host key、/etc/shadow、跳板機憑據和 CI secrets 是否需要輪換。

第五，補上監控。重點關注異常 root shell、可疑本地提權 PoC、關鍵檔案修改、異常 ptrace 行為、容器程序存取宿主機路徑、CI 節點上的異常網路連線。

結論

這四次事件的重點不是「Linux 不安全了」，而是「預設信任不夠用了」。

Linux 仍然是透明、可修復、可裁剪、可加固的主流系統。但在容器、CI、多租戶和 AI 自動化程式碼執行越來越普遍的環境裡，低權限執行點已經不能被看作小問題。只要內核裡存在可利用的本地提權或敏感資訊洩露漏洞，局部入侵就可能變成宿主機控制、憑據洩露或橫向移動。

更現實的做法是把這四次事件當成一次提醒：補丁要快，重啟要確認，模組要按需啟用，容器要收緊，密鑰要能輪換，多租戶要重新評估隔離等級。

站內延伸閱讀：

Dirty Frag CVE-2026-43284：Linux 本地提權漏洞風險與緩解指南

Sat, 09 May 2026 07:25:55 +0800

Dirty Frag 是 2026 年 5 月公開並已出現利用跡象的一組 Linux 內核本地提權漏洞。Microsoft 將其描述為攻擊者在已經獲得低權限執行能力後，用來把權限提升到 root 的後滲透風險；Ubuntu 也將 CVE-2026-43284 標為 High。

這類漏洞最危險的地方不在「遠端直接打進來」，而在「進來以後迅速擴大控制權」。一旦攻擊者透過弱 SSH 帳號、WebShell、容器逃逸、低權限服務帳號或釣魚後的遠端存取拿到本地執行機會，就可能利用 Dirty Frag 取得 root，進而關閉安全工具、讀取敏感憑證、篡改日誌、橫向移動或建立持久化。

Dirty Frag 涉及哪些 CVE

目前公開資訊裡，Dirty Frag 主要關聯兩個編號：

CVE-2026-43284：涉及 Linux 內核 xfrm/ESP 路徑，Microsoft 提到的 esp4、esp6 元件屬於這一類風險。
CVE-2026-43500：Microsoft 稱其與 rxrpc 相關，但截至 2026 年 5 月 8 日，該 CVE 在 NVD 尚未正式發布，修補狀態也仍在變化。

因此，實際排查時不要只盯一個 CVE。更穩妥的思路是同時關注 esp4、esp6、rxrpc 以及相關 xfrm/IPsec 功能是否啟用、是否需要、是否已有發行版內核修補。

技術原因簡單理解

根據 Microsoft 和 Ubuntu 的說明，CVE-2026-43284 與 Linux 內核網路和記憶體碎片處理有關，尤其是 ESP/IPsec 路徑中對共享頁面片段的處理。

更具體地說，某些場景下，資料頁可能透過 splice 等機制被掛到網路緩衝區裡。如果內核後續路徑把這些片段當成可以原地修改的私有資料處理，就可能在不該寫的位置發生原地解密或修改。攻擊者可以藉此操縱 page cache 行為，最終達到本地提權。

這和此前披露的 CopyFail（CVE-2026-31431）有相似背景：都圍繞 Linux page cache、內核資料路徑和本地提權展開。Dirty Frag 的危險點在於，它引入了更多攻擊路徑，可能比傳統依賴競態窗口的 LPE 更穩定。

哪些環境需要優先關注

Dirty Frag 是本地提權漏洞，所以前提是攻擊者已經能在目標機器上執行程式碼。需要優先關注的環境包括：

暴露 SSH 的 Linux 伺服器。
執行 Web 應用、可能被寫入 WebShell 的伺服器。
多使用者登入、跳板機、開發機、CI/CD runner。
容器宿主機、Kubernetes 節點、OpenShift 節點。
使用 IPsec、VPN、xfrm、RxRPC 相關功能的系統。
執行 Ubuntu、RHEL、CentOS Stream、AlmaLinux、Fedora、openSUSE 等主流發行版的伺服器。

如果你的伺服器完全沒有本地多使用者、沒有容器、沒有暴露可被利用的應用入口，風險會低一些；但只要存在「攻擊者可能拿到低權限 shell」的路徑，就應該把它作為高優先級內核漏洞處理。

先做修補優先

最穩妥的修復方式永遠是安裝發行版提供的內核安全更新，並重啟進入新內核。

Ubuntu 的 CVE 頁面顯示，CVE-2026-43284 發布於 2026 年 5 月 8 日，優先級為 High。Microsoft 也指出 Linux Kernel Organization 已經發布 CVE-2026-43284 相關修復，並建議盡快應用補丁。

實際操作建議：

1
2

uname -a
cat /etc/os-release

然後按發行版更新內核：

`1`	`sudo apt update && sudo apt full-upgrade`

或：

`1`	`sudo dnf update`

更新後務必確認已重啟到新內核：

`1`	`uname -r`

只安裝內核包但不重啟，舊內核仍在執行，漏洞依然可能存在。

臨時緩解：停用相關模組

如果補丁尚未可用，或生產環境不能立即重啟，可以先評估是否能臨時停用相關模組。Ubuntu 給出的緩解思路是阻止 esp4、esp6、rxrpc 載入，並卸載已經載入的模組。

建立 modprobe 停用規則：

1
2
3

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf

更新 initramfs，避免早期啟動階段載入：

`1`	`sudo update-initramfs -u -k all`

卸載已載入模組：

`1`	`sudo rmmod esp4 esp6 rxrpc 2>/dev/null`

確認模組是否仍在：

`1`	`grep -qE '^(esp4\|esp6\|rxrpc) ' /proc/modules && echo "Affected modules are loaded" \|\| echo "Affected modules are NOT loaded"`

如果模組正在被業務使用，可能無法卸載，重啟後停用規則才會生效。

停用前一定要評估業務影響

不要把上面的緩解命令當成無腦複製貼上。esp4、esp6 和 xfrm/IPsec 相關功能可能被 VPN、隧道、加密網路、Kubernetes/容器網路或特定企業網路設定使用。rxrpc 也可能影響依賴該協議的場景。

在生產環境執行前，至少確認：

1
2
3

lsmod | grep -E '^(esp4|esp6|rxrpc|xfrm)'
ip xfrm state
ip xfrm policy

如果你依賴 IPsec VPN 或相關內核網路功能，停用模組可能直接導致連線中斷。此時更推薦盡快安排內核補丁和維護窗口，而不是長期依賴停用模組。

入侵後檢查不能省

Microsoft 特別提醒，緩解措施不一定能撤銷已經發生的成功利用。攻擊者如果已經拿到 root，可能留下持久化、篡改檔案、修改日誌或存取 session 資料。

建議至少檢查：

journalctl -k --since "24 hours ago" | grep -Ei "dirty|frag|exploit|segfault|xfrm|rxrpc|esp"
last -a
lastlog
sudo find /tmp /var/tmp /dev/shm -type f -mtime -3 -ls
sudo find / -perm -4000 -type f -mtime -7 -ls 2>/dev/null

還應重點關注：

異常 su、sudo、SUID/SGID 行程啟動。
近期新增的 ELF 可執行檔。
Web 目錄下的可疑 PHP、JSP、ASP 檔案。
SSH authorized_keys 是否被改動。
systemd service、cron、rc.local 是否新增持久化。
容器宿主機是否有異常特權容器或掛載。

如果懷疑已經被利用，優先隔離主機、保留證據、輪換憑證，再做清理。不要只靠卸載模組或清 cache 就認為安全。

關於 drop_caches

Microsoft 文中提到，在某些入侵後完整性驗證場景，可以評估是否清理 cache：

`1`	`echo 3 \| sudo tee /proc/sys/vm/drop_caches`

但這不是漏洞修復命令，也不是入侵清理命令。清 cache 可能帶來額外磁碟 I/O 和生產效能影響，只適合在理解影響後作為輔助操作。真正的修復仍然是打補丁、重啟、檢查完整性和排查持久化。

總結

Dirty Frag 不是一個「遠端一鍵打穿」的漏洞，但它會顯著放大已經入侵後的風險。只要攻擊者能獲得本地低權限執行機會，就可能藉助 CVE-2026-43284 以及相關 rxrpc 攻擊面把權限提升到 root。

對管理員來說，重點不是研究 PoC，而是盡快完成三件事：確認內核是否受影響，安裝發行版安全更新並重啟；在補丁窗口前評估停用相關模組；對已經暴露或疑似被入侵的系統做完整性和持久化檢查。

參考連結：