IT之家 5 月 14 日消息，科技媒體 cyberkendra 昨日（5 月 13 日）發(fā)布博文，Linux 內(nèi)核在 2 周內(nèi)遭遇“3 重暴擊”，繼 Copy Fail、Dirty Frag 兩個(gè)漏洞外，又發(fā)現(xiàn) Fragnesia 新漏洞。

該漏洞由 William Bowling 和安全研究團(tuán)隊(duì) V12 Security 披露，是一個(gè)本地提權(quán)漏洞，任何未授權(quán)本地用戶不需要宿主機(jī)層面的現(xiàn)成權(quán)限，就能借此穩(wěn)定獲取 root 最高權(quán)限。

IT之家援引博文介紹，該漏洞目標(biāo)仍是 Linux 內(nèi)核的 XFRM ESP-in-TCP，該子系統(tǒng)通過 TCP 處理 IPsec 加密流量的部分。

問題核心是內(nèi)核在處理共享頁碎片與 socket buffer（套接字緩沖區(qū)）合并時(shí)出現(xiàn)邏輯缺陷，導(dǎo)致系統(tǒng)“忘記”某個(gè)碎片仍被共享，進(jìn)而給攻擊者留下可控寫入空間。

該漏洞不依賴競爭條件。攻擊者先調(diào)用 unshare ()，創(chuàng)建隔離的用戶命名空間和網(wǎng)絡(luò)命名空間，再在這個(gè)隔離環(huán)境里拿到 CAP_NET_ADMIN（網(wǎng)絡(luò)管理能力）。

攻擊者隨后利用已知 AES-128-GCM 密鑰布置特制的 ESP 安全關(guān)聯(lián)，并構(gòu)造 256 項(xiàng)查找表，為后續(xù)逐字節(jié)改寫做準(zhǔn)備。

攻擊者利用代碼把目標(biāo)二進(jìn)制文件 /usr/ bin / su 的頁面直接拼接進(jìn) TCP 套接字緩沖區(qū)，再切換到 espintcp ULP（上層協(xié)議）模式。

此時(shí)內(nèi)核會(huì)嘗試原地解密隊(duì)列中的數(shù)據(jù)，結(jié)果是 AES-GCM 密鑰流直接異或進(jìn)該文件在頁緩存中的副本。攻擊者于是能精確翻轉(zhuǎn)指定字節(jié)，把 su 開頭前 192 字節(jié)改成一個(gè)會(huì)調(diào)用 setresuid（0，0，0）并執(zhí)行 /bin/ sh 的小型 ELF 樁代碼。

對(duì)管理員來說，最麻煩的是磁盤上的 /usr/ bin / su 并不會(huì)被改寫，篡改只存在于內(nèi)存頁緩存里。因此，很多文件完整性檢查可能看不出問題，但一旦有人運(yùn)行 su，就可能直接落入 root shell。

研究人員稱，凡是受 Dirty Frag 影響、且沒有打上 2026 年 5 月 13 日補(bǔ)丁的內(nèi)核，同樣會(huì)受 Fragnesia 影響。

安全團(tuán)隊(duì)在 Ubuntu 22.04、24.04 發(fā)行版上已成功驗(yàn)證該漏洞，測試版本包括 6.8.0-111-generic。Ubuntu 默認(rèn)對(duì)非特權(quán)用戶命名空間施加的 AppArmor 限制能稍微提高門檻，但原文稱這只需要額外繞過一步，不屬于漏洞本體的防護(hù)。

現(xiàn)階段緩解辦法與 Dirty Frag 相同。如果系統(tǒng)不依賴 IPsec ESP 或 RxRPC 協(xié)議，最快的臨時(shí)方案是禁用相關(guān)脆弱模塊。

若懷疑系統(tǒng)已經(jīng)中招，需要先清理頁緩存中的 /usr/ bin / su 篡改副本，或者直接重啟。更穩(wěn)妥的做法仍是盡快安裝發(fā)行版提供的內(nèi)核補(bǔ)?。会槍?duì)這個(gè)具體漏洞的上游補(bǔ)丁，已在 2026 年 5 月 13 日提交。

相關(guān)閱讀：

• 《微軟警告“Dirty Frag”Linux 內(nèi)核漏洞已遭黑客利用》

• 《Dirty Frag 漏洞鏈曝光：幾乎影響所有主流 Linux 發(fā)行版，可提權(quán)至 root》

• 《Linux 內(nèi)核潛伏 9 年漏洞披露：732 字節(jié)腳本攻破 Ubuntu 等發(fā)行版，提權(quán)至 root 最高權(quán)限》

參考

• Fragnesia GitHub

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。