15%

Zaoszczędź 15% na wszystkich usługach hostingowych

Sprawdź swoje umiejętności i zdobądź Rabat na dowolny plan hostingowy

Użyj kodu:

Skills
Rozpocznij
08.05.2026
Informacje Category iconZaufanie i bezpieczeństwo

Alert bezpieczeństwa: Luka w jądrze Linux “Dirty Frag” — Zaktualizuj swoje serwery teraz

Powaga: Krytyczna
Systemy dotknięte: Wszystkie wydania AlmaLinux (8, 9, 10, Kitten 10)

Czym jest Dirty Frag?

Krytyczna luka w jądrze Linux — nazwana Dirty Frag — została publicznie ujawniona przez badacza bezpieczeństwa Hyunwoo Kim. Wpływa ona na szybkie ścieżki deszyfrowania w miejscu modułów jądra esp4, esp6 i rxrpc (IPsec ESP i rxrpc).

Luka pozwala nieuprzywilejowanemu lokalnemu użytkownikowi uzyskać dostęp do roota na dotkniętych systemach. Z działającym exploitem już publicznie dostępnym, nie jest to sytuacja typu “poczekaj i zobacz”.

Przypisano dwa CVE:

CVE-2026-43284 — IPsec ESP (esp4 / esp6)
CVE-2026-43500 — moduł jądra rxrpc

Drugi publiczny exploit — Copy Fail 2: Electric Boogaloo — również celuje w tę samą lukę poprzez identyczne ścieżki kodu.

Kto jest zagrożony?

Ta luka jest szczególnie niebezpieczna, jeśli twój serwer jest

  • Hostem wielodostępnym z wieloma użytkownikami
  • Farmą budowy kontenerów lub runnerem CI
  • Jakimkolwiek systemem, gdzie nieufni użytkownicy mogą uzyskać dostęp do powłoki.

Każda wspierana wersja AlmaLinux jest dotknięta. Exploit jest trywialny do wykonania i publiczny.

Jak to naprawić (Dostępne teraz załatane jądra)

AlmaLinux wydał załatane jądra przed Red Hat/RHEL, dostępne w repozytorium testowym już dziś.

Krok 1 — Zainstaluj repozytorium testowe
sudo dnf install -y almalinux-release-testing

Krok 2 — Zaktualizuj jądro
sudo dnf update 'kernel*' --enablerepo=almalinux-testing

Krok 3 — Zrestartuj
sudo reboot

Krok 4 — Potwierdź załataną wersję
uname -r

Wersje załatanych jąder:

AlmaLinux 8 — kernel-4.18.0-553.123.2.el8_10 lub nowszy
AlmaLinux 9 — kernel-5.14.0-611.54.3.el9_7 lub nowszy
AlmaLinux 10 — kernel-6.12.0-124.55.2.el10_1 lub nowszy
AlmaLinux Kitten 10 — dostępne bezpośrednio w regularnym repozytorium, wystarczy zaktualizować i zrestartować

Uwaga dla użytkowników Kitten 10: Nie potrzeba repozytorium testowego. Uruchom sudo dnf update ‘kernel*’ i zrestartuj.

Nie możesz teraz zrestartować? Zastosuj tę tymczasową mitygację

Jeśli natychmiastowy restart nie jest możliwy, możesz zablokować ładowanie podatnych modułów:

sudo sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

To zapobiega ładowaniu esp4, esp6 i rxrpc oraz wyładowuje je, jeśli są obecnie aktywne. Jest to bezpieczne do uruchomienia na wszystkich wspieranych wydaniach AlmaLinux.

!Nie używaj tej mitygacji jeśli twój system aktywnie używa IPsec ESP lub AFS/rxrpc — te usługi przestaną działać. Trwałe rozwiązanie to zainstalowanie załatanego jądra i restart.

Jeśli podejrzewasz, że twój system mógł już być celem ataku, usuń pamięć podręczną stron, aby usunąć potencjalnie uszkodzone strony:

sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

Aby cofnąć czarną listę modułów, po prostu usuń /etc/modprobe.d/dirtyfrag.conf

Dodatkowe uwagi

Jeśli masz zainstalowany kernel-modules-partner, usuń go — zawiera moduł rxrpc i nie jest przeznaczony do systemów produkcyjnych
sudo dnf remove kernel-modules-partner

Po aktualizacji w środowisku produkcyjnym, wyłącz repozytorium testowe
sudo dnf config-manager --disable almalinux-testing

Podsumowanie — Co musisz zrobić

Zaktualizuj swoje jądro natychmiast, korzystając z powyższych kroków. Zrestartuj, aby załadować załatane jądro. Jeśli nie możesz jeszcze zrestartować, zastosuj mitygację czarnej listy modułów. Usuń kernel-modules-partner, jeśli jest zainstalowany na systemach produkcyjnych. Monitoruj, kiedy łatka przejdzie z repozytoriów testowych do produkcyjnych.

Potrzebujesz niezawodnego Linux VPS?

Incydenty takie jak Dirty Frag przypominają, jak ważne jest posiadanie pełnej kontroli nad środowiskiem serwera. Z AlexHost VPS masz dostęp root, wybór systemu operacyjnego, w tym AlmaLinux, i elastyczność w stosowaniu krytycznych poprawek bezpieczeństwa w momencie ich pojawienia się — bez czekania na kogokolwiek innego.

Odkryj Plany VPS AlexHost — szybka wdrożenie, konkurencyjne ceny i gotowość do pracy z Linuxem od razu po wyjęciu z pudełka.

Źródło: Oficjalny blog bezpieczeństwa AlmaLinux — https://almalinux.org/blog/2026-05-07-dirty-frag/

15%

Zaoszczędź 15% na wszystkich usługach hostingowych

Sprawdź swoje umiejętności i zdobądź Rabat na dowolny plan hostingowy

Użyj kodu:

Skills
Rozpocznij