Büyük Linux dağıtımları, ifşa ambargosunun kırılmasının ardından iki yeni güvenlik açığını düzeltmek için acele ediyor.
Linux çekirdeğinin alt sistemlerindeki iki zincirleme sorundan oluşan ve 'Dirty Frag' olarak bilinen güvenlik açığı, bağımsız güvenlik araştırmacısı Hyunwoo Kim tarafından Nisan 2026'nın sonlarında tespit edildi.
Linux çekirdeğinde, savunmasız bir aygıta yerel erişimi olan bir saldırganın tüm büyük Linux dağıtımlarında kök ayrıcalıkları elde etmesine olanak verebilecek bir yerel ayrıcalık yükseltme (LPE) kusuru buldu.
Nasıl Önlem Alınmalı?
Bu güvenlik açığı, Linux çekirdeğinde CVE-2026-31431 olarak izlenen dokuz yıllık bir kusur olan 'Kopyalama Başarısızlığı' ile benzer bir etkiye sahiptir. Copy Fair, Nisan ayında, saldırgan güvenlik firması Theori'de güvenlik açığı araştırmacısı olan Taeyang Lee tarafından keşfedildi.
Teknik Analiz
Lee'nin çalışması, Kim'e Linux çekirdeğinde benzer güvenlik açıklarını arama konusunda ilham verdi.
Kim, 30 Nisan'da Linux çekirdeği güvenlik ekibiyle temasa geçtiğini söyledi. Ancak 8 Mayıs'ta Openwall Projesi'nin açık kaynaklı güvenlik e-postası kullanıcılarına, yeni güvenlik açığının ifşa edilmesine yönelik ambargonun yamalar hazır olmadan önce kırıldığını bildirdi.
Kim, "[Linux dağıtımları] bakımcılarıyla görüştükten sonra ve bakımcıların isteği üzerine bu Dirty Frag belgesini kamuya açıklıyorum" diye yazdı.
Önemli Gelişmeler
Kim ve güvenlik açığı araştırma topluluğunun diğer üyeleri, kısa sürede Dirty Frag güvenlik açığını düzeltmenin yollarını geliştirmeye çalıştı.
Bu arada, Linux çekirdeği güvenlik ekibi 8 Mayıs'ta iki ayrı yüksek önem dereceli sayfa önbellek güvenlik açığını açıkladı ve bunların birbirine zincirlenmesi Dirty Frag'ı oluşturdu.
Gelecekte Ne Bekleniyor?
CVE-2026-43284 olarak takip edilen ilk güvenlik açığı, Linux çekirdeğinin xfrm-ESP (IPsec) alt sisteminde yer alan ve 2017'den bu yana yararlanılabilen bir "ne-nerede-yaz" koşulu güvenlik açığıdır. Bu güvenlik açığından yararlanıldığında, saldırgana rastgele bir konuma rastgele bir değer yazma yeteneği verir. CVE-2026-43284'ün şiddet derecesi (CVSS) 8,8'dir
Sonuç ve Değerlendirme
CVE-2026-43500 olarak izlenen ikincisi, Linux çekirdeğinin RxRPC alt sisteminde 2023'ten bu yana yararlanılabilen sınır dışı bir yazmadır. Sınır dışı yazma, bir ürünün amaçlanan arabelleğin sonuna veya başlangıcından önce veri yazdığı bir güvenlik açığıdır. CVE-2026-43500'ün şiddet derecesi (CVSS) 7,8'dir.
Uzmanların Görüşleri
Vahşi Doğada Gözlemlenen Faaliyet Kirli Parça Sömürüsüne Bağlantılı Olabilir
Kim ayrıca Dirty Frag için bir kavram kanıtlama (PoC) istismarı yayınladı.
Detaylar ve Etkileri
Microsoft Defender Güvenlik Araştırma Ekibi, 8 Mayıs'ta yayınlanan bir blog yazısında, 'su' içeren ayrıcalık artışının gözlemlendiği, Dirty Frag veya Copy Fail ile ilişkili tekniklerin göstergesi olabilecek "sınırlı doğal aktivite" tespit ettiğini söyledi.
Araştırmacılar, Dirty Frag'in aşağıdakiler de dahil olmak üzere çeşitli izinsiz giriş yolları için kullanılabileceğine inanıyor:
Sistem Güvenliği
SSH hesaplarının güvenliği ihlal ediliyor
İnternete yönelik uygulamalarda web kabuğu erişimi
Konteyner ana bilgisayar ortamına kaçıyor
Düşük ayrıcalıklı hizmet hesaplarının kötüye kullanılması
Kimlik avı veya uzaktan erişim ihlali sonrasında istismar sonrası etkinlik
Bu arada, Linux dağıtımlarının bakımcıları CVE-2026-43284 ve CVE-2026-43500 için kademeli olarak yamalar yayınlıyor.
Dirty Frag için Azaltma Önerileri
İlgili bir yama mevcut olana kadar Kim, güvenlik ekiplerinin, Dirty Frag'e karşı geçici bir çözüm olarak aşağıdaki betiği çalıştırarak savunmasız çekirdek modüllerini devre dışı bırakmasını önerdi:
sh -c "printf 'esp4 /bin/false'ı yükle
esp6 /bin/false'ı yükle
rxrpc /bin/false'ı yükleyin
' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; doğru"
Yine 8 Mayıs'ta yayınlanan başka bir blog yazısında Google Cloud'un sahibi Wiz, azaltma adımlarının bir listesini paylaştı.
Bunlar aşağıdaki adımları içerir: