DirtyClone, DirtyFrag ailesinde yeni bir Linux çekirdeği ayrıcalık yükseltmesidir. JFrog Security Research, bu varyantın ilk halka açık gösterimi olan 25 Haziran'da kusura yönelik çalışan bir açıktan yararlanma kılavuzu yayınladı.
CVE-2026-43503 (CVSS 8.8) olarak izlenen bu yazılım, yerel kullanıcının klonlanmış bir ağ paketi aracılığıyla dosya destekli belleği bozmasına ve kök kazanmasına olanak tanır. Yama 21 Mayıs'ta ana hatta indi; Eğer çekirdeğinizde yoksa şimdi güncelleyin.
Çekirdek bir ağ paketini dahili olarak kopyaladığında, iki yardımcı işlev, paketin belleğinin diskteki bir dosyayla paylaşıldığını işaretleyen bir güvenlik bayrağı bırakır. Bu eksik bayrak tüm güvenlik açığıdır.
Saldırgan /usr/bin/su gibi ayrıcalıklı bir ikili dosyayı belleğe yükler, bu bellek sayfalarını bir ağ paketine bağlar ve çekirdeği onu kopyalamaya zorlar. Klonlanan paket, saldırganın kontrol ettiği bir IPsec tünelinden geçer ve şifre çözme adımı, saldırganın seçtiği baytlarla ikili dosyanın oturum açma kontrollerinin üzerine yazar. Bir dahaki sefere biri su çalıştırdığında root'u devrediyor.
Diskteki dosya asla değişmez. Değişiklik yalnızca çekirdeğin bellek içi kopyasında bulunur, dolayısıyla dosya bütünlüğü araçları bunu gözden kaçırır, saldırı hiçbir denetim izi bırakmaz ve yeniden başlatma, orijinal ikili dosyayı geri yükler. Saldırgan, herhangi birinin kontrol etmeyi düşünebileceği zamana kadar zaten root'a sahip.
Kullanım, geridöngü IPsec tünelini yapılandırmak için CAP_NET_ADMIN gerektirir. Debian ve Fedora'da ayrıcalıksız kullanıcı ad alanları varsayılan olarak etkindir, böylece yerel kullanıcı bu yeteneği yeni bir ad alanı içinde edinebilir.
Ubuntu 24.04 ve üzeri, AppArmor aracılığıyla ad alanı oluşturulmasını kısıtlayarak varsayılan yararlanma yolunu engeller. Sayfa önbelleği ana bilgisayar düzeyinde paylaşılır, dolayısıyla ad alanı içinde yapılan değişiklikler makinedeki her işlemi etkiler.
Açığa çıkan sistemler; çok kiracılı sunucular, CI çalıştırıcıları, konteyner ana bilgisayarları ve güvenilmeyen kullanıcıların ad alanları oluşturabildiği Kubernetes kümeleridir. JFrog, varsayılan ad alanı yapılandırmalarıyla Debian, Ubuntu ve Fedora sistemlerinde bu istismarı doğruladı.
Serinin Dördüncüsü
Bu, aynı hata moduna sahip yakın zamanda gerçekleşen dördüncü ayrıcalık artışıdır: dosya destekli bellek, paket veri olarak değerlendirilir, ardından yerinde bir ağ işlemi, kopyalanması gereken yere yazar.
Kopyalama Başarısızlığı (CVE-2026-31431) ilk olarak Nisan ayı sonlarında ortaya çıktı ve dört baytlık sayfa önbellek yazımı için algif_aead modülünü kullandı.
Bunu 7 Mayıs'ta DirtyFrag (CVE-2026-43284 ve CVE-2026-43500) izledi ve tam yazma ilkel için IPsec ESP ve RxRPC yollarını zincirledi.
Fragnesia (CVE-2026-46300), skb_try_coalesce()'deki işaret bırakan bir hata nedeniyle DirtyFrag yamasını atlayarak 13 Mayıs'ta ortaya çıktı.
Her düzeltme bir kod yolunu kapattı ve diğerlerini açık bıraktı. DirtyClone'un kanıtlanmış istismarı __pskb_copy_fclone() üzerinde yoğunlaşıyor ve skb_shift() de etkileniyor; daha geniş CVE düzeltmesi, aynı bayrağın kaybolabileceği ek parça aktarım yardımcılarını kapsar.
Temel sorun tek bir kötü yardımcı fonksiyon değil. Bu bir sözleşme sorunudur: skb parçalarını hareket ettiren her kod yolu, her zaman paylaşılan parça bitini korumak zorundadır.
Çekirdeğin sıfır kopyalı ağı, dosya destekli belleğin paket veri olarak görev yapmasına olanak tanır ve zincirin herhangi bir yerinde bırakılan tek bir bayrak, performans optimizasyonunu bir yazma temeline dönüştürür. Her değişken, sözleşmenin yerine getirilmediği bir yol buldu.
Orijinal DirtyFrag araştırmacısı Hyunwoo Kim, 16 Mayıs'ta kalan birkaç parça aktarma yardımcısını kapsayan daha geniş bir çok siteli yama sunmuştu. Birleştirilmiş düzeltme 21 Mayıs'ta birleştirildi (48f6a5356a33'ü taahhüt edin), 23 Mayıs'ta CVE-2026-43503 atandı ve 24 Mayıs'ta Linux v7.1-rc5'te gönderildi.
Ne Yapmalı
Dağıtımınızın çekirdek güncellemesini yükleyin. Düzeltme v7.1-rc5'te yukarıya doğru indi ve stabil ve LTS şubelerine desteklendi. Ubuntu, Debian ve SUSE tavsiyeler yayınladı; Red Hat'in Bugzilla izleme girişi var.
Bugün yama yapamıyorsanız iki geçici çözüm saldırı yüzeyini azaltır. Ayrıcalıksız kullanıcı ad alanlarını kısıtlayın: Debian ve Ubuntu'da kernel.unprivileged_userns_clone=0 olarak ayarlayın (diğer dağıtımlar farklı mekanizmalar kullanır).
Alternatif olarak kara listeye alın
esp4, esp6 ve rxrpc çekirdek modülleri, IPsec ve AFS'yi bozar ve yalnızca bu özellikler çekirdeğe derlenmek yerine yüklenebilir modüller olduğunda çalışır. Her ikisi de geçici kontrollerdir, düzeltme değil.
DirtyFrag sınıfı muhtemelen tamamlanmamıştır. Paylaşılan parça bayrağını yaymadan parça tanımlayıcılarını hareket ettiren herhangi bir işlev, potansiyel yeni bir CVE'dir ve denetim, parça aktarımı sırasında skb_shinfo()-> işaretlerine dokunan her yolu kapsamalıdır.