Попередження про безпеку: вразливість ядра Linux “Dirty Frag” — оновіть свої сервери зараз

Серйозність: Критична
Уражені системи: Всі випуски AlmaLinux (8, 9, 10, Kitten 10)

Що таке Dirty Frag?

Критична вразливість ядра Linux — названа Dirty Frag — була публічно розкрита дослідником безпеки Hyunwoo Kim. Вона впливає на шляхи швидкого дешифрування в модулях ядра esp4, esp6 та rxrpc (IPsec ESP та rxrpc).

Ця вада дозволяє некваліфікованому локальному користувачу отримати доступ root на уражених системах. Оскільки експлойт вже доступний публічно, це не ситуація “почекаємо-побачимо”.

Два CVE були призначені:

CVE-2026-43284 — IPsec ESP (esp4 / esp6)
CVE-2026-43500 — модуль ядра rxrpc

Другий публічний експлойт — Copy Fail 2: Electric Boogaloo — також націлений на цю саму вразливість через ідентичні шляхи коду.

Хто в зоні ризику?

Ця вразливість особливо небезпечна, якщо ваш сервер є

• Багатокористувацьким хостом з декількома користувачами
• Фермою для збірки контейнерів або CI runner
• Будь-якою системою, де недовірені користувачі можуть отримати доступ до оболонки.

Кожна підтримувана версія AlmaLinux уражена. Експлойт легко виконати і він публічний.

Як це виправити (виправлені ядра вже доступні)

AlmaLinux випустила виправлені ядра раніше Red Hat/RHEL, доступні в тестовому репозиторії сьогодні.

Крок 1 — Встановіть тестовий репозиторій

Крок 2 — Оновіть ядро

Крок 3 — Перезавантажтеся

Крок 4 — Підтвердіть виправлену версію

Виправлені версії ядер:

AlmaLinux 8 — kernel-4.18.0-553.123.2.el8_10 або новіше
AlmaLinux 9 — kernel-5.14.0-611.54.3.el9_7 або новіше
AlmaLinux 10 — kernel-6.12.0-124.55.2.el10_1 або новіше
AlmaLinux Kitten 10 — доступно безпосередньо в звичайному репозиторії, просто оновіть і перезавантажтеся

Примітка для користувачів Kitten 10: Тестовий репозиторій не потрібен. Виконайте sudo dnf update ‘kernel*’ і перезавантажтеся.

Не можете перезавантажитися зараз? Застосуйте це тимчасове пом’якшення

Якщо негайне перезавантаження неможливе, ви можете заблокувати завантаження уразливих модулів:

Це запобігає завантаженню esp4, esp6 та rxrpc і вивантажує їх, якщо вони активні. Це безпечно для виконання на всіх підтримуваних випусках AlmaLinux.

!Не використовуйте це пом’якшення, якщо ваша система активно використовує IPsec ESP або AFS/rxrpc — ці служби перестануть працювати. Постійне виправлення — встановити виправлене ядро і перезавантажитися.

Якщо ви підозрюєте, що ваша система вже була атакована, скиньте кеш сторінок, щоб видалити потенційно пошкоджені сторінки:

Щоб скасувати чорний список модулів, просто видаліть /etc/modprobe.d/dirtyfrag.conf

Додаткові примітки

Якщо у вас встановлено kernel-modules-partner, видаліть його — він постачає модуль rxrpc і не призначений для продуктивних систем

Після оновлення в продуктивному середовищі вимкніть тестовий репозиторій

Підсумок — Що потрібно зробити

Негайно оновіть ваше ядро, використовуючи наведені вище кроки. Перезавантажтеся, щоб завантажити виправлене ядро. Якщо ви не можете перезавантажитися зараз, застосуйте пом’якшення чорного списку модулів. Видаліть kernel-modules-partner, якщо він встановлений на продуктивних системах. Слідкуйте за переходом виправлення з тестових до продуктивних репозиторіїв.

Потрібен надійний Linux VPS?

Інциденти, як Dirty Frag, нагадують, наскільки важливо мати повний контроль над вашим серверним середовищем. З VPS від AlexHost ви отримуєте доступ root, вибір ОС, включаючи AlmaLinux, і гнучкість для застосування критичних виправлень безпеки в момент їх виходу — без очікування на когось іншого.

Ознайомтеся з планами VPS від AlexHost — швидке розгортання, конкурентні ціни та готовність до Linux з коробки.

Джерело: Офіційний блог безпеки AlmaLinux — https://almalinux.org/blog/2026-05-07-dirty-frag/