漏洞概述 | |||
漏洞名称 | Linux Kernel DirtyClone 本地权限提升漏洞 | ||
漏洞编号 | QVD-2026-28380,CVE-2026-43503 | ||
公开时间 | 2026-05-23 | 影响量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.8 |
威胁类型 | 权限提升 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用此漏洞,通过构造特定的网络数据包,修改映射到内存中的特权二进制文件(如 /usr/bin/su),从而在无需修改磁盘文件的情况下,实现从普通用户到 root 用户的权限提升。 | |||
01 漏洞详情
影响组件
Linux 内核是由 Linus Torvalds 于1991年发起开发的开源类 Unix 操作系统内核,它是全球使用最广泛的操作系统内核之一,为服务器、桌面系统、嵌入式设备、移动设备及云计算基础设施提供核心系统服务。Linux 内核负责管理系统的硬件资源,包括进程调度、内存管理、文件系统、设备驱动程序以及网络协议栈等关键功能。其网络子系统支持 TCP/IP 协议族、IPsec VPN、网络过滤(iptables/nftables)等高级网络功能,广泛应用于企业数据中心、云服务提供商及容器编排平台。
漏洞描述
近日,奇安信CERT监测到官方修复Linux Kernel DirtyClone 本地权限提升漏洞(CVE-2026-43503),该漏洞源于内核在通过 __pskb_copy_fclone 等辅助函数克隆或转移网络数据包分片(fragments)时,未能正确传播 SKBFL_SHARED_FRAG 标志位。该标志位用于标记数据包是否引用了共享的(如文件页缓存)内存页。由于标志位丢失,导致后续处理流程(如 IPsec ESP 解密)误判内存属性,未执行必要的写时复制(Copy-on-Write)操作,而是直接在共享的只读文件内存页上进行原地解密写入。攻击者可以利用此漏洞,通过构造特定的网络数据包,修改映射到内存中的特权二进制文件(如 /usr/bin/su),从而在无需修改磁盘文件的情况下,实现从普通用户到 root 用户的权限提升。DirtyClone 属于 DirtyFrag 漏洞家族的新变种。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
利用条件
1.系统启用非特权用户命名空间(允许本地用户获取 CAP_NET_ADMIN)。
2.系统需要加载 esp4、esp6 或 rxrpc 等内核模块,或内核编译时包含 IPsec 支持。
02 影响范围
影响版本
3.9 <= Linux Kernel < 5.10.257
5.11 <= Linux Kernel < 5.15.208
5.16 <= Linux Kernel < 6.1.174
6.2 <= Linux Kernel < 6.6.141
6.7 <= Linux Kernel < 6.12.91
6.13 <= Linux Kernel < 6.18.33
6.19 <= Linux Kernel < 7.0.10
7.1-rc1 <= Linux Kernel < 7.1-rc5
目前已知受影响发行版:
Debian
Ubuntu
Fedora
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Linux Kernel DirtyClone 本地权限提升漏洞(CVE-2026-43503),默认情况下 ubntu 上需要关闭 AppArmor sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0,截图如下:
04 处置建议
安全更新
目前官方已有可更新版本,建议尽快将 Linux 内核升级至包含修复补丁的版本,上游主修复版本为 v7.1-rc5(commit 48f6a5356a33)。
官方补丁下载地址:
https://git.kernel.org/stable/c/48f6a5356a33dd78e7144ae1faef95ffc990aae0
各发行版已发布安全更新,请根据发行版安全公告应用相应的补丁版本:
Debian:https://security-tracker.debian.org/tracker/CVE-2026-43503
Ubuntu:https://ubuntu.com/security/CVE-2026-43503
Fedora:https://bugzilla.redhat.com/show_bug.cgi?id=2480902
临时缓解方案:
1.限制用户命名空间:如果业务允许,禁用非特权用户命名空间,防止普通用户获取 CAP_NET_ADMIN 能力。
sysctl -w kernel.unprivileged_userns_clone=02.禁用相关模块:如果服务器不使用 IPsec 功能,可临时禁用或黑名单相关内核模块,阻断攻击路径。
modprobe -r esp4 esp6 rxrpc05 参考资料
[1]https://git.kernel.org/stable/c/48f6a5356a33dd78e7144ae1faef95ffc990aae0
[2]https://research.jfrog.com/post/dissecting-and-exploiting-linux-lpe-variant-dirtyclone-cve-2026-43503/
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
