Alert bezpieczeństwa: Luka w jądrze Linux “Dirty Frag” — Zaktualizuj swoje serwery teraz

Waga: Krytyczna
Systemy dotknięte: Wszystkie wersje AlmaLinux (8, 9, 10, Kitten 10)

Czym jest Dirty Frag?

Krytyczna luka w jądrze Linux — nazwana Dirty Frag — została publicznie ujawniona przez badacza bezpieczeństwa Hyunwoo Kim. Wpływa ona na szybkie ścieżki deszyfracji w miejscu modułów jądra esp4, esp6 i rxrpc (IPsec ESP i rxrpc).

Luka pozwala nieuprzywilejowanemu lokalnemu użytkownikowi uzyskać dostęp root na dotkniętych systemach. Ponieważ działający exploit jest już publicznie dostępny, nie jest to sytuacja, w której można czekać i obserwować.

Przypisano dwa CVE:

CVE-2026-43284 — IPsec ESP (esp4 / esp6)
CVE-2026-43500 — moduł jądra rxrpc

Drugi publiczny exploit — Copy Fail 2: Electric Boogaloo — również celuje w tę samą lukę poprzez identyczne ścieżki kodu.

Kto jest zagrożony?

Ta luka jest szczególnie niebezpieczna, jeśli twój serwer jest

• Hostem multi-tenant z wieloma użytkownikami
• Farmą budowy kontenerów lub runnerem CI
• Jakimkolwiek systemem, gdzie nieufni użytkownicy mogą uzyskać dostęp do powłoki.

Każda wspierana wersja AlmaLinux jest dotknięta. Exploit jest trywialny do wykonania i publiczny.

Jak to naprawić (Dostępne już teraz jądra z poprawkami)

AlmaLinux wydał jądra z poprawkami przed Red Hat/RHEL, dostępne już dziś w repozytorium testowym.

Krok 1 — Zainstaluj repozytorium testowe

Krok 2 — Zaktualizuj jądro

Krok 3 — Uruchom ponownie

Krok 4 — Potwierdź wersję z poprawkami

Wersje jądra z poprawkami:

AlmaLinux 8 — kernel-4.18.0-553.123.2.el8_10 lub nowszy
AlmaLinux 9 — kernel-5.14.0-611.54.3.el9_7 lub nowszy
AlmaLinux 10 — kernel-6.12.0-124.55.2.el10_1 lub nowszy
AlmaLinux Kitten 10 — dostępne bezpośrednio w regularnym repozytorium, wystarczy zaktualizować i uruchomić ponownie

Uwaga dla użytkowników Kitten 10: Nie potrzeba repozytorium testowego. Uruchom sudo dnf update ‘kernel*’ i uruchom ponownie.

Nie możesz teraz uruchomić ponownie? Zastosuj tę tymczasową mitygację

Jeśli natychmiastowe ponowne uruchomienie nie jest możliwe, możesz zablokować ładowanie podatnych modułów:

To zapobiega ładowaniu esp4, esp6 i rxrpc oraz ich wyładowaniu, jeśli są obecnie aktywne. Jest to bezpieczne do uruchomienia na wszystkich wspieranych wersjach AlmaLinux.

!Nie używaj tej mitygacji, jeśli twój system aktywnie używa IPsec ESP lub AFS/rxrpc — te usługi przestaną działać. Trwałe rozwiązanie to zainstalowanie jądra z poprawkami i ponowne uruchomienie.

Jeśli podejrzewasz, że twój system mógł już być celem ataku, usuń pamięć podręczną stron, aby usunąć potencjalnie uszkodzone strony:

Aby cofnąć czarną listę modułów, po prostu usuń /etc/modprobe.d/dirtyfrag.conf

Dodatkowe uwagi

Jeśli masz zainstalowany kernel-modules-partner, usuń go — zawiera moduł rxrpc i nie jest przeznaczony do systemów produkcyjnych

Po aktualizacji w środowisku produkcyjnym wyłącz repozytorium testowe

Podsumowanie — Co musisz zrobić

Natychmiast zaktualizuj swoje jądro, korzystając z powyższych kroków. Uruchom ponownie, aby załadować jądro z poprawkami. Jeśli nie możesz jeszcze uruchomić ponownie, zastosuj mitygację czarnej listy modułów. Usuń kernel-modules-partner, jeśli jest zainstalowany na systemach produkcyjnych. Monitoruj, kiedy poprawka przejdzie z repozytoriów testowych do produkcyjnych.

Potrzebujesz niezawodnego Linux VPS?

Incydenty takie jak Dirty Frag przypominają, jak ważne jest posiadanie pełnej kontroli nad środowiskiem serwera. Z VPS AlexHost otrzymujesz dostęp root, wybór systemu operacyjnego, w tym AlmaLinux, oraz elastyczność w stosowaniu krytycznych poprawek bezpieczeństwa w momencie ich wydania — bez czekania na kogokolwiek innego.

Poznaj plany VPS AlexHost — szybkie wdrożenie, konkurencyjne ceny i gotowość do pracy z Linuxem od razu po wyjęciu z pudełka.

Źródło: Oficjalny blog bezpieczeństwa AlmaLinux — https://almalinux.org/blog/2026-05-07-dirty-frag/