На 7 травня 2026 року було публічно розкрито дві вразливості ескалації привілеїв (LPE), що впливають на ядро Linux. Одна з вразливостей отримала ідентифікатор CVE CVE-2026-43284, в той час як інша – поки що ні. Обидві позначені як “Dirty Frag”. Під загрозою опинилися модулі ядра Linux. Перша вразливість впливає на модулі, які забезпечують підтримку ESP (Encapsulating Security Protocol), одного з протоколів, що використовується для IPsec (Internet Protocol Security). Друга вразливість стосується модулів, що забезпечують підтримку RxRPC, протоколу, який використовується для AFS (Andrew File System), розподіленої файлової системи. Вразливості впливають на декілька дистрибутивів Linux, включаючи всі версії Ubuntu.

Вразливості не мають оцінок CVSS в CVE List або NVD, проте компанія Canonical оцінює їх за шкалою CVSS 3.1 на рівні 7.8, що відповідає високій серйозності.

Ця публікація описує заходи пом’якшення, які відключають уражені модулі і можуть бути застосовані, коли пакети ядра Linux, які реалізують запропоноване виправлення, будуть випущені.

Вплив вразливостей на системи

Вплив на системи без контейнерних навантажень

На хостах, які не виконують контейнерні навантаження, вразливість дозволяє місцевому користувачеві підвищити привілеї до адміністратора (root). Опублікований експлойт виконується в таких умовах.

Вплив на контейнерні розгортання

У контейнерних розгортаннях, які можуть виконувати довільні сторонні навантаження, вразливість може також сприяти сценаріям втечі з контейнера, крім ескалації привілеїв на хості. Доказ концепції (PoC) експлойту для втечі з контейнера поки не був опублікований.

Ризики регресії при пом’якшенні

Заходи пом’якшення відключають модулі ядра, які використовуються для IPsec ESP та RxRPC відповідно. Ці заходи вплинуть на функціональність, якщо вони використовуються під час:

• Виконання IPsec, що є поширеним у реалізаціях VPN, таких як StrongSwan.
• Використання AFS (Andrew File System) або іншого застосування RxRPC.

Оскільки вразливості незалежні, відключення лише модулів esp4/esp6 або лише модулів rxrpc залишить решту вразливими.

Актуальні версії

Виправлення вразливостей буде розподілено через пакети образів ядра Linux. Заходи пом’якшення, які відключають уражені модулі, можуть бути застосовані згідно з наведеними нижче інструкціями. Заходи пом’якшення не потрібно буде застосовувати після оновлення ядра.

Випуск	Назва пакета	Виправлена версія
Trusty Tahr (14.04 LTS)	linux	Під загрозою
Xenial Xerus (16.04 LTS)	linux	Під загрозою
Bionic Beaver (18.04 LTS)	linux	Під загрозою
Focal Fossa (20.04 LTS)	linux	Під загрозою
Jammy Jellyfish (22.04 LTS)	linux	Під загрозою
Noble Numbat (24.04 LTS)	linux	Під загрозою
Questing Quokka (25.10)	linux	Під загрозою
Resolute Raccoon (26.04 LTS)	linux	Під загрозою

Як перевірити, чи ви під загрозою

Всі версії з таблиці вище під загрозою.

Ручні заходи пом’якшення

Заходи пом’якшення блокують завантаження уражених модулів ядра. Це вимагає трьох кроків:

1. Уникнути завантаження модулів у майбутньому.
2. Вивантажити модулі.
3. Перевірити, чи успішно виконано крок 2; якщо ні, перезавантажити систему.

Крок 1 – блокування модулів:

Заблокуйте модулі, створивши файл /etc/modprobe.d/dirty-frag.conf:

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.confecho "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.confecho "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf

Згенеруйте зображення initramfs, щоб запобігти завантаженню модулів під час раннього завантаження:

sudo update-initramfs -u -k all

Крок 2 – вивантаження модулів:

Вивантажте модулі, якщо вони вже завантажені:

sudo rmmod esp4 esp6 rxrpc 2>/dev/null 

Крок 3 – перевірка, чи модулі не завантажені:

Перевірте, чи модулі все ще завантажені:

grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Affected modules are loaded" || echo "Affected modules are NOT loaded"

Якщо попередня дія показує, що модулі не завантажені, жодних подальших дій не потрібно. Однак, вивантаження модулів може бути неможливим, якщо вони використовуються програмами. У таких випадках перезавантаження системи змусить їх блокувати, але вплине на програми:

sudo reboot

Вимкнення заходів пом’якшення

Після того, як оновлення ядра буде доступним і встановленим, вимкнути захід пом’якшення можна:

sudo rm /etc/modprobe.d/dirty-frag.conf