近期,统信安全应急响应中心(USRC)监控到 Linux 内核存在一个高危本地提权漏洞,统称为“Dirty Frag”。该漏洞链允许任何本地低权限用户在几乎所有主流 Linux 发行版上直接获取 root 权限,攻击无需依赖复杂的竞争条件,成功率极高,危险性极大。
鉴于其严重性和广泛影响,统信软件建议广大客户根据 USRC 提供的漏洞修复解决方案进行防护,以确保桌面、服务器操作系统安全。
漏洞简介
漏洞编号:CVE-2026-43284、CVE-2026-43500
漏洞描述:Dirty Frag 属于页缓存投毒攻击,与 Dirty Pipe 和 Copy Fail 同属一个漏洞类别。该漏洞通过链式利用两个独立的页缓存写入原语 xfrm-ESP Page-Cache Write(CVE-2026-43284)与 RxRPC Page-Cache Write(CVE-2026-43500),使本地普通用户可无条件提权至 root。
漏洞等级:高危
利用条件:攻击者需具备本地普通用户权限即可发起攻击
受影响版本范围:桌面专业版及服务器各版本均受影响
漏洞修复方案
统信 UOS 已在第一时间合入官方漏洞补丁,并推送补丁包至系统仓库,您可通过升级内核至安全版本,以修复漏洞!
安全公告地址:https://src.uniontech.com/,根据漏洞编号 CVE-2026-43284 或 CVE-2026-43500 搜索漏洞信息。
◉ 外网在线升级修复步骤
1. 桌面操作系统
控制中心--更新--更新设置--打开系统更新、安全更新
点击“检查更新”--“全部下载”
点击“立即安装”
安装完毕点击“立即重启”
2. 服务器操作系统
服务器 D 版
执行以下命令更新内核及相关组件:
AMD64:
sudo apt update && sudo apt install linux-image-4.19.0-server-amd64 linux-headers-4.19.0-server-amd64
ARM64:
sudo apt update && sudo apt install linux-image-4.19.0-arm64-server linux-headers-4.19.0-arm64-server
更新完成后请执行 sudo reboot 重启系统。
其他服务器版本
通过 yum 升级至安全内核版本
sudo yum update-minimal --cve CVE-2026-43284(或CVE-2026-43500)
或直接升级内核包:
sudo yum update kernel
更新完成后请执行 sudo reboot 重启系统。
◉ 内网离线补丁修复步骤
离线补丁下载地址:
https://src.uniontech.com/
根据漏洞编号 CVE-2026-43284 或 CVE-2026-43500 搜索漏洞信息,选择对应的操作系统版本,点击“详情”,选择对应的“系统子版本”和“系统架构”,下载并安装补丁包。
1. 桌面专业版离线补丁安装
在 SRC 下载对应架构的离线补丁升级工具。
双击离线补丁升级工具安装包,需要添加执行权限,点击“运行”。
再次双击离线补丁升级工具安装包,需要输入用户密码,点击“确定”。
勾选“我已阅读并知晓”,点击“开始升级”。升级后会自动重启系统,勾选“我已知晓并确认继续升级”,然后点击“继续升级”。
注意:升级过程中,会先备份系统,请勿强制关机或断电,否则可能会导致系统损坏。
2. 服务器版离线补丁安装
将下载的内核补丁包放入空文件夹中,然后执行以下命令安装补丁。
服务器 D 版:
sudo dpkg -i *.deb
其他服务器版本:
sudo -ivh --force --nodeps *.rpm
安装完成后,务必执行以下命令重启系统,使新内核生效:
sudo reboot
◉ 修复验证
执行 uname -a 命令查看当前系统内核版本,若大于等于 SRC 上的修复版本,则漏洞已修复,否则漏洞未修复。
临时方案
注意:以下措施会禁用 esp4、esp6、rxrpc 模块,可能影响 IPsec ESP、部分 VPN/IPsec 业务、RxRPC/AFS 相关能力。生产环境操作前应完成业务影响评估,并优先在测试环境验证。
步骤不适用华为机型,华为线所有机型应按“华为线机型缓解措施”执行。
禁止后续加载模块
无论当前模块是否已加载,均建议在业务允许的情况下添加禁用配置,防止后续被自动或手动加载:
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' | sudo tee /etc/modprobe.d/disable-copy-fail-2.conf
卸载已加载模块
如检测到相关模块已加载,可执行:
sudo rmmod esp4 esp6 rxrpc 2>/dev/null
如卸载失败,应检查是否存在业务进程占用、模块依赖。
验证配置
grep -rE 'install (esp4|esp6|rxrpc) /bin/false' /etc/modprobe.d/disable-copy-fail-2.conf
返回以下内容即表示配置已写入:
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
配置完成后,服务器重启后相关模块也不会被再次加载。
清理已被污染的 page cache
该类漏洞修改的是内存中的 page cache,不一定直接修改磁盘文件。若系统已经被测试或攻击,仅卸载和禁用模块不能清除已经被污染的 page cache;后续执行 su 等目标程序时,仍可能命中被污染的内存页。建议在完成取证和业务评估后,优先通过重启清理内存状态。
确需在线清理时,先切换到 root 用户,执行 killall su 命令清理所有 su,然后再按照以下步骤清理 page cache:
sudo sync
sudo echo 3 | sudo tee /proc/sys/vm/drop_caches
回滚方式
如确认业务受影响,需要恢复 esp4、esp6、rxrpc 模块加载能力,可删除禁用配置后按需加载模块:
sudo rm /etc/modprobe.d/disable-copy-fail-2.conf
sudo modprobe esp4
sudo modprobe esp6
sudo modprobe rxrpc
回滚前应确认系统处于受控环境,且已采取其他补偿性安全措施或已完成正式补丁升级。
华为线机型缓解措施
涉及华为线机型如下: pgv(w515、w585) pgw(w525) klu(L410) klv(L420、L540) pgx(w515x&w585x) flmx(L420x、L540x) pgy(w515y&w585y)
临时处置应采用以下方式:
修改 /etc/default/grub.cfg
在 GRUB 内核启动参数 GRUB_CMDLINE_LINUX_DEFAULT= 中加入以下内容:
initcall_blacklist=esp4_init,esp6_init,af_rxrpc_init
修改完成后执行以下命令更新 GRUB 配置并重启系统:
sudo update-grub
sudo reboot
重启后可通过以下命令确认启动参数已生效:
cat /proc/cmdline | grep 'initcall_blacklist=esp4_init,esp6_init,af_rxrpc_init'
该方式通过跳过 built-in 组件初始化降低攻击面,属于临时缓解措施,不等同于正式补丁。如启动异常,应通过 GRUB 引导菜单移除该启动参数后恢复。
回滚方式
对于华为线机型,如已添加 initcall_blacklist=esp4_init,esp6_init,af_rxrpc_init 启动参数,回滚时应从 /etc/default/grub.cfg 中删除该内核启动参数,并执行以下命令更新 GRUB 配置后重启系统:
sudo update-grub
sudo reboot
统信软件
统信UOS