Linux 内核曝 DirtyClone 高危漏洞，本地用户可静默提权至 root

JFrog 安全研究团队披露了 Linux 内核本地提权漏洞 DirtyClone（CVE-2026-43503），CVSS 评分 8.8。该漏洞属于 DirtyFrag 家族的新变种，因 __pskb_copy_fclone() 等函数在克隆 socket buffer 时丢失 SKBFL_SHARED_FRAG 标志，导致内核将只读 page cache 内存误判为可写网络缓冲区。

漏洞原理

攻击者通过配置本地 loopback IPsec 隧道，再利用 netfilter TEE 规则触发 __pskb_copy_fclone() 克隆数据包。克隆过程中安全标志丢失，ESP 解密路径直接在 page cache 上执行写入操作，静默篡改特权可执行文件（如 /usr/bin/su）并获取 root 权限。

整个攻击过程不留内核日志或审计痕迹，磁盘文件内容不变，绕过常见文件完整性监控工具。

受影响范围

• Debian、Ubuntu、Fedora 等默认启用非特权用户命名空间的发行版风险最高
• 多租户云环境和 Kubernetes 集群尤需警惕
• 任何缺少完整 DirtyFrag 补丁链（CVE-2026-43284、CVE-2026-46300、CVE-2026-43503）的内核均存在风险

修复与缓解

漏洞已于 5 月 21 日在 Linux v7.1-rc5 中修复（commit 48f6a5356a33），Ubuntu 等发行版已发布补丁内核。若无法立即更新：

• 将 kernel.unprivileged_userns_clone 设为 0
• 屏蔽 esp4、esp6、rxrpc 内核模块

来源：JFrog Security Research、NVD、Cybersecurity News、The Hacker News、Ubuntu Security、SentinelOne