Відкритий квиток 
+373 79 600002 
Telegram Онлайн-чат 
Часті запитання 
Українська
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
български 
Polski 
Indonesia 
中文 (中国) 
Довіра та безпека ІнформаціяПопередження безпеки: вразливість ядра Linux “Dirty Frag” — оновіть свої сервери зараз
Серйозність: Критична
Уражені системи: Всі випуски AlmaLinux (8, 9, 10, Kitten 10)
Що таке Dirty Frag?
Критична вразливість ядра Linux — під назвою Dirty Frag — була публічно розкрита дослідником безпеки Hyunwoo Kim. Вона впливає на швидкі шляхи розшифровки на місці модулів ядра esp4, esp6 та rxrpc (IPsec ESP та rxrpc).
Ця вада дозволяє некваліфікованому локальному користувачу отримати доступ root на уражених системах. З уже доступним публічно експлойтом, це не ситуація “почекаємо-побачимо”.
Дві CVE були призначені:
CVE-2026-43284 — IPsec ESP (esp4 / esp6)
CVE-2026-43500 — модуль ядра rxrpc
Другий публічний експлойт — Copy Fail 2: Electric Boogaloo — також націлений на цю ж вразливість через ідентичні шляхи коду.
Хто під загрозою?
Ця вразливість особливо небезпечна, якщо ваш сервер є
- Хостом з багатьма орендарями з кількома користувачами
- Фермою для побудови контейнерів або CI runner
- Будь-якою системою, де недовірені користувачі можуть отримати доступ до оболонки.
Кожна підтримувана версія AlmaLinux уражена. Експлойт легко виконати і він публічний.
Як це виправити (Виправлені ядра доступні зараз)
AlmaLinux випустила виправлені ядра раніше Red Hat/RHEL, доступні в тестовому репозиторії сьогодні.
Крок 1 — Встановіть тестовий репозиторій
sudo dnf install -y almalinux-release-testing
Крок 2 — Оновіть ядро
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
Крок 3 — Перезавантажте
sudo reboot
Крок 4 — Підтвердіть виправлену версію
uname -r
Виправлені версії ядра:
AlmaLinux 8 — kernel-4.18.0-553.123.2.el8_10 або новіше
AlmaLinux 9 — kernel-5.14.0-611.54.3.el9_7 або новіше
AlmaLinux 10 — kernel-6.12.0-124.55.2.el10_1 або новіше
AlmaLinux Kitten 10 — доступно безпосередньо в звичайному репозиторії, просто оновіть і перезавантажте
Примітка для користувачів Kitten 10: Тестовий репозиторій не потрібен. Запустіть sudo dnf update ‘kernel*’ і перезавантажте.
Не можете перезавантажити зараз? Застосуйте це тимчасове пом’якшення
Якщо негайне перезавантаження неможливе, ви можете заблокувати завантаження вразливих модулів:
sudo sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Це запобігає завантаженню esp4, esp6 та rxrpc і вивантажує їх, якщо вони активні. Це безпечно виконувати на всіх підтримуваних випусках AlmaLinux.
!Не використовуйте це пом’якшення, якщо ваша система активно використовує IPsec ESP або AFS/rxrpc — ці служби зламаються. Постійне виправлення — встановити виправлене ядро і перезавантажити.
Якщо ви підозрюєте, що ваша система вже була атакована, скиньте кеш сторінок, щоб видалити потенційно пошкоджені сторінки:
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'
Щоб скасувати чорний список модулів, просто видаліть /etc/modprobe.d/dirtyfrag.conf
Додаткові примітки
Якщо у вас встановлено kernel-modules-partner, видаліть його — він постачає модуль rxrpc і не призначений для виробничих систем
sudo dnf remove kernel-modules-partner
Після оновлення в виробничому середовищі, вимкніть тестовий репозиторій
sudo dnf config-manager --disable almalinux-testing
Резюме — Що вам потрібно зробити
Негайно оновіть ваше ядро, використовуючи наведені вище кроки. Перезавантажте, щоб завантажити виправлене ядро. Якщо ви не можете перезавантажити зараз, застосуйте пом’якшення чорного списку модулів. Видаліть kernel-modules-partner, якщо він встановлений на виробничих системах. Слідкуйте за переходом виправлення з тестового до виробничого репозиторію.
Потрібен надійний Linux VPS?
Інциденти, такі як Dirty Frag, нагадують, наскільки важливо мати повний контроль над вашим серверним середовищем. З AlexHost VPS ви отримуєте доступ root, вибір ОС, включаючи AlmaLinux, і гнучкість застосовувати критичні патчі безпеки в момент їх виходу — без очікування на когось іншого.
Досліджуйте Плани AlexHost VPS — швидке розгортання, конкурентоспроможні ціни та готовність до Linux з коробки.
Джерело: Офіційний блог безпеки AlmaLinux — https://almalinux.org/blog/2026-05-07-dirty-frag/
