15%

Сэкономьте 15% на всех хостинговых услугах

Проверьте свои навыки и получите скидку на любой тарифный план

Используйте код:

Skills
Начать
08.05.2026
Category iconДоверие и безопасность Информация

Предупреждение безопасности: уязвимость ядра Linux “Dirty Frag” — обновите ваши серверы сейчас

Серьезность: Критическая
Затронутые системы: Все выпуски AlmaLinux (8, 9, 10, Kitten 10)

Что такое Dirty Frag?

Критическая уязвимость ядра Linux — получившая название Dirty Frag — была публично раскрыта исследователем безопасности Хюнву Кимом. Она затрагивает пути быстрой расшифровки на месте модулей ядра esp4, esp6 и rxrpc (IPsec ESP и rxrpc).

Уязвимость позволяет непривилегированному локальному пользователю получить root-доступ на затронутых системах. Поскольку рабочая эксплойт уже доступна публично, это не ситуация ожидания.

Назначены два CVE:

CVE-2026-43284 — IPsec ESP (esp4 / esp6)
CVE-2026-43500 — модуль ядра rxrpc

Второй публичный эксплойт — Copy Fail 2: Electric Boogaloo — также нацелен на эту же уязвимость через идентичные пути кода.

Кто в зоне риска?

Эта уязвимость особенно опасна, если ваш сервер является

  • многоарендным хостом с несколькими пользователями
  • фермой сборки контейнеров или CI-раннером
  • любой системой, где недоверенные пользователи могут получить доступ к оболочке.

Каждая поддерживаемая версия AlmaLinux затронута. Эксплойт легко выполнить и он публичен.

Как это исправить (патчи для ядер уже доступны)

AlmaLinux выпустила патчи для ядер раньше, чем Red Hat/RHEL, они доступны в тестовом репозитории сегодня.

Шаг 1 — Установите тестовый репозиторий
sudo dnf install -y almalinux-release-testing

Шаг 2 — Обновите ядро
sudo dnf update 'kernel*' --enablerepo=almalinux-testing

Шаг 3 — Перезагрузите
sudo reboot

Шаг 4 — Подтвердите версию с патчем
uname -r

Версии ядер с патчами:

AlmaLinux 8 — kernel-4.18.0-553.123.2.el8_10 или новее
AlmaLinux 9 — kernel-5.14.0-611.54.3.el9_7 или новее
AlmaLinux 10 — kernel-6.12.0-124.55.2.el10_1 или новее
AlmaLinux Kitten 10 — доступно напрямую в обычном репозитории, просто обновите и перезагрузите

Примечание для пользователей Kitten 10: Тестовый репозиторий не нужен. Выполните sudo dnf update ‘kernel*’ и перезагрузите.

Не можете перезагрузиться прямо сейчас? Примените это временное смягчение

Если немедленная перезагрузка невозможна, вы можете заблокировать загрузку уязвимых модулей:

sudo sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Это предотвращает загрузку esp4, esp6 и rxrpc и выгружает их, если они активны. Это безопасно для всех поддерживаемых выпусков AlmaLinux.

!Не используйте это смягчение, если ваша система активно использует IPsec ESP или AFS/rxrpc — эти сервисы перестанут работать. Постоянное исправление — установить ядро с патчем и перезагрузить.

Если вы подозреваете, что ваша система могла уже быть атакована, сбросьте кеш страниц, чтобы выгнать потенциально поврежденные страницы:

sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

Чтобы отменить черный список модулей, просто удалите /etc/modprobe.d/dirtyfrag.conf

Дополнительные заметки

Если у вас установлен kernel-modules-partner, удалите его — он содержит модуль rxrpc и не предназначен для производственных систем
sudo dnf remove kernel-modules-partner

После обновления в производственной среде отключите тестовый репозиторий
sudo dnf config-manager --disable almalinux-testing

Резюме — что вам нужно сделать

Немедленно обновите ваше ядро, используя приведенные выше шаги. Перезагрузитесь, чтобы загрузить ядро с патчем. Если вы не можете перезагрузиться, примените смягчение черного списка модулей. Удалите kernel-modules-partner, если он установлен на производственных системах. Следите за перемещением патча из тестовых в производственные репозитории.

Нужен надежный Linux VPS?

Инциденты, такие как Dirty Frag, напоминают, насколько важно иметь полный контроль над вашей серверной средой. С VPS от AlexHost вы получаете root-доступ, возможность выбора ОС, включая AlmaLinux, и гибкость для применения критических обновлений безопасности в момент их выхода — без ожидания кого-либо еще.

Изучите планы VPS от AlexHost — быстрая развертка, конкурентоспособные цены и готовность к Linux из коробки.

Источник: Официальный блог безопасности AlmaLinux — https://almalinux.org/blog/2026-05-07-dirty-frag/

15%

Сэкономьте 15% на всех хостинговых услугах

Проверьте свои навыки и получите скидку на любой тарифный план

Используйте код:

Skills
Начать