Rešerše od GPT 5.5, repo https://github.com/V4bel/dirtyfrag
Dirty Frag: lokální eskalace práv v linuxovém kernelu
Dirty Frag je dvojice zranitelností v linuxovém kernelu vedená jako CVE-2026-43284 a CVE-2026-43500. Obě umožňují lokální eskalaci práv z běžného uživatele na roota. Nejde o přímý vzdálený útok ze sítě; útočník už musí mít možnost spustit kód na systému. Typickým vstupem může být kompromitovaný účet, web shell, CI runner nebo workload v kontejneru.
První chyba se týká IPsec ESP cesty v modulech esp4 a esp6, druhá subsystému rxrpc, používaného mimo jiné u AFS. Společným jmenovatelem je práce kernelu s paměťovými fragmenty a page cache. Za určitých okolností může jádro zapisovat do paměťových stránek, které nejsou bezpečně oddělené přes copy-on-write. Útočník tím získá možnost ovlivnit paměťovou reprezentaci dat, ke kterým by normálně neměl zápisová oprávnění.
Vztah ke Copy Fail
Dirty Frag patří do stejné širší rodiny problémů jako Copy Fail (CVE-2026-31431). U obou chyb nejde primárně o přepsání souboru na disku, ale o zneužití page cache. Kernel zapíše do stránky spojené se souborem, aniž by správně zachoval izolaci mezi čtením a zápisem.
Rozdíl je ve vstupním bodu. Copy Fail zneužíval kryptografické rozhraní kernelu, Dirty Frag používá síťové cesty ESP/XFRM a RxRPC. Mitigace Copy Fail proto před Dirty Frag nechrání. Jde o příbuzný princip, ale jinou útočnou plochu.
Exploit a kontejnery
Veřejný proof-of-concept byl zveřejněn krátce po publikaci zranitelností. Exploit je nebezpečný hlavně tím, že nejde o typickou nestabilní kernelovou chybu závislou na přesném časování. Útočník s lokálním spuštěním kódu může připravit paměťové stránky navázané na page cache, protlačit je přes zranitelnou kernelovou cestu a získat zápis, který lze převést na eskalaci práv.
V kontejnerovém prostředí je podstatné, že Dirty Frag není chyba v image ani v userspace balíku. Zranitelný je kernel hostitele, který sdílejí všechny kontejnery na daném nodu. Rebuild image tedy problém neřeší. Riziko závisí na nastavení runtime, capabilities, seccomp profilu, AppArmor/SELinuxu a tom, zda workload běží jako privilegovaný nebo má přístup k host namespace.
Dirty Frag automaticky neznamená univerzální útěk z každého kontejneru. Veřejný PoC byl popisován hlavně pro hostitelské prostředí, nikoli jako hotový container escape. V multi-tenant clusterech, CI/CD prostředích, build kontejnerech a privilegovaných podech ale chyba výrazně zvyšuje dopad kompromitovaného workloadu. V Kubernetes se proto řeší především na úrovni worker nodů.
Stav oprav a mitigace
Stav oprav se liší podle distribuce, kernelové větve a konkrétního balíku. U CVE-2026-43284 jsou k dispozici upstreamové opravy v linuxových stable větvích, zatímco u CVE-2026-43500 byl v prvních dnech po zveřejnění stav méně jednoznačný. Správci by proto měli vycházet z advisories konkrétní distribuce, ne jen z existence upstreamového commitu.
Dočasná mitigace spočívá v blokování a odpojení modulů esp4, esp6 a rxrpc. Vypnutí pouze jedné části nestačí, protože chyby jsou nezávislé. Opatření ale může mít provozní dopad: esp4 a esp6 se používají u IPsec VPN, rxrpc může ovlivnit AFS.
Definitivním řešením je aktualizace kernelu a restart systému, případně rotace nodů v Kubernetes. Nejvyšší prioritu mají sdílené servery, bastiony, CI/CD infrastruktura, hostingy, vývojová prostředí a clustery, které spouštějí privilegované nebo nedůvěryhodné workloady.
