Exploit on vmlinuz

Dirty Frag: czwarty sposób na roota przez page cache (CVE-2026-43284, CVE-2026-43500)

Sun, 31 May 2026 10:00:00 +0100

Tydzień po CopyFailu Hyunwoo Kim ujawnił kolejną lokalną eskalację uprawnień opartą o ten sam prymityw: zapis do page cache pliku tylko do odczytu. Tym razem nie przez crypto, tylko przez obsługę fragmentacji w dwóch protokołach sieciowych. Nazwa: Dirty Frag.

To nie jest pojedynczy bug, tylko łańcuch dwóch CVE:

CVE-2026-43284 w modułach ESP (Encapsulating Security Payload, czyli IPsec): esp4, esp6. CVSS 8.8 wg kernel.org, 7.8 wg CISA. Kod podatny od około 2017 (jądra 4.x).
CVE-2026-43500 w RxRPC (protokół AFS): moduł rxrpc. CVSS 7.8. Podatne od około 2023 (jądra 6.2+).

Dlaczego to ta sama rodzina

Dirty COW, Dirty Pipe i CopyFail miały wspólny mianownik: nieautoryzowany zapis do page cache daje natychmiastową eskalację, bo można podmienić zawartość pliku, który system uznaje za zaufany (np. /usr/bin/su). Dirty Frag robi dokładnie to samo, tylko punktem wejścia jest błędna obsługa fragmentów w ESP i RxRPC. Stąd „Frag" w nazwie.

Kernel Security Checker: sprawdź, czy Twoja wersja jądra ma znane exploity

Thu, 28 May 2026 10:00:00 +0100

Dotychczas Kernel Security Checker odpowiadał na jedno pytanie: jak dobrze zahardenowany jest mój kernel? Analizował konfigurację (kconfig, sysctl, cmdline) i pokazywał, które opcje warto włączyć.

To jednak nie mówi wszystkiego. Dobrze skonfigurowany kernel w starej wersji nadal może mieć dziury, na które od dawna krąży publiczny exploit. Dlatego doszła druga sekcja: Podatności.

Co robi nowa zakładka CVE

Wpisujesz wersję swojego jądra (to, co zwraca uname -r), a narzędzie pokazuje listę znanych publicznych exploitów dopasowanych do tej wersji. Dla każdego trafienia dostajesz:

Dirty COW, Dirty Pipe, CopyFail: trzy sposoby na roota przez page cache

Wed, 27 May 2026 10:00:00 +0100

Trzy podatności, trzy różne podsystemy kernela, ten sam efekt: nieuprzywilejowany użytkownik zapisuje dane do page cache pliku tylko do odczytu i zostaje rootem. Dirty COW potrzebował race condition. Dirty Pipe był deterministyczny. CopyFail robi to samo w 732 bajtach Pythona.

Dirty COW (CVE-2016-5195)

Kiedy: w kernelu od 2007, odkryty w 2016. Siedział 9 lat.

Gdzie: mm/gup.c, obsługa copy-on-write w get_user_pages().

Jak działa:

Kernel przy zapisie do prywatnego mapowania pliku (MAP_PRIVATE) powinien najpierw utworzyć kopię COW, a potem zapisać. Problem w tym, że te dwie operacje nie były atomowe.

CopyFail (CVE-2026-31431) — 9 lat ukrytej eskalacji uprawnień w kernelu

Wed, 29 Apr 2026 14:00:00 +0100

29 kwietnia ujawniono publicznie CVE-2026-31431, nazwaną “CopyFail”. Podatność siedziała w kernelu przez 9 lat — od 2017 roku. Pozwala każdemu lokalnemu użytkownikowi uzyskać roota. Bez race condition, bez zgadywania offsetów, ze 100% skutecznością. Cały exploit mieści się w 732-bajtowym skrypcie Pythona.

Co jest podatne

Moduł algif_aead w podsystemie kryptograficznym kernela (AF_ALG). Dotyczy praktycznie każdej dystrybucji z kernelem zbudowanym od 2017 roku:

Ubuntu 20.04 – 24.04
RHEL 10.1
Amazon Linux 2023
SUSE 16
Debian, Fedora, Arch, Rocky Linux, AlmaLinux

CVSS: 7.8 (HIGH) — lokalny dostęp, niskie uprawnienia, brak interakcji użytkownika.