Riasztás a Linux rendszereket érintő Dirty Frag sérülékenységről


május 11. 11:28

Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet riasztást ad ki a Dirty Frag néven
ismert, Linux rendszereket érintő, magas kockázatú kernel sebezhetőségről.
A Linux kernelt érintő két helyi jogosultságkiterjesztést lehetővé tevő sebezhetőség közül csak az egyik kapott
azonosítószámot (CVE-2026-43284 / EUVD-2026-28535), míg a másik jelenleg még besorolás alatt áll.

  • A CVE-2026-43284 / EUVD-2026-28535 sebezhetőség az ESP (Encapsulating Security Protocol) támogatásához kapcsolódik, amely az IPsec (Internet Protocol Security) protokoll része, és széles körben alkalmazzák VPN-kapcsolatok esetén.
  • Az azonosító nélküli sebezhetőség az RxRPC protokollt érinti, amelyet például az AFS (Andrew File System) elosztott fájlrendszer használ.

A sérülékenységek számos ismert Linux disztribúciót érintenek, amelyek 2017 után kiadott kernelverziót használnak.

Hatás

Olyan rendszereken, ahol nem futnak konténeres munkaterhelések, a sérülékenység lehetővé teszi egy helyi felhasználó számára a jogosultságok root szintre történő kiterjesztését.

Konténeres környezetekben – különösen, ahol tetszőleges harmadik féltől származó konténeres alkalmazások futtatása engedélyezett – a sérülékenység nemcsak helyi jogosultságkiterjesztésre, hanem potenciálisan konténerszökésre (container escape) is felhasználható. Jelenleg azonban ilyen támadási forgatókönyvre még nem publikáltak demonstrációs célú PoC (proof of concept) exploitot.

A publikálás időpontjában a sérülékenységekhez még nem érhető el javítás vagy biztonsági frissítés, ezért javasolt az alábbi mitigációs lépések végrehajtása. A mitigáció az IPsec ESP és az RxRPC működéséhez szükséges kernelmodulok letiltásával csökkenti a kockázatot. A bemutatott mitigációs lépések Ubuntu- és Debian-alapú rendszereken közvetlenül alkalmazhatók, más Linux disztribúciók esetén kisebb módosítások válhatnak szükségessé.

A letiltás funkcionális hatással járhat az alábbi esetekben:

  • IPsec-alapú VPN megoldások használata esetén (pl. StrongSwan)
  • AFS (Andrew File System) vagy más RxRPC-alapú alkalmazások használata esetén

Mivel a két sérülékenység egymástól független, kizárólag az esp4/esp6 vagy kizárólag az rxrpc modulok letiltása önmagában nem elegendő.

A mitigáció pontos lépéseit megtalálja a PDF mellékletben.

Riasztás_dirty_fragLetöltése