A la página principal

Vulnerabilidad Dirty Frag (CVE-2026-43284, CVE-2026-43500)

Una vulnerabilidad crítica en el kernel de Linux — esto es lo que debes hacer ahora mismo.

El 7 de mayo de 2026, el investigador Hyunwoo Kim divulgó públicamente una vulnerabilidad crítica del kernel de Linux llamada Dirty Frag. Permite a cualquier usuario local sin privilegios — o a un proceso que se ejecute dentro de un contenedor — obtener acceso root completo en el sistema anfitrión.

Ya existe un exploit público y funcional en circulación. Este asunto requiere tu atención hoy mismo.

Actualizaciones en tiempo real

Este artículo se actualiza a medida que hay nuevos parches y detalles sobre la vulnerabilidad disponibles.

Qué es Dirty Frag

La vulnerabilidad reside en el código de descifrado fast-path para IPsec ESP y rxrpc. Cuando un buffer de socket contiene fragmentos paginados que no son de propiedad exclusiva del kernel (por ejemplo, páginas adjuntadas mediante splice(2), sendfile(2) o MSG_SPLICE_PAGES), el kernel descifra los datos directamente sobre esas páginas gestionadas externamente — exponiendo o corrompiendo texto en claro al que un proceso sin privilegios aún mantiene una referencia.

Dirty Frag es en realidad la combinación de dos bugs encadenados:

  • CVE-2026-43284 — afecta a IPsec ESP (esp4 / esp6), presente en todas las distribuciones principales desde 2017
  • CVE-2026-43500 — afecta a rxrpc, relevante solo en sistemas con el paquete kernel-modules-partner instalado

Quién está afectado

La vulnerabilidad está presente en todos los kernels de Linux modernos con soporte xfrm/ESP:

  • AlmaLinux 8, 9, 10
  • Rocky Linux, RHEL y derivados
  • Ubuntu, Debian y derivados

Es especialmente peligrosa en servidores dedicados y entornos contenerizados (Docker, LXC, Kubernetes) — puede utilizarse para escapar de un contenedor y comprometer el host.

Paso 1. Mitigación inmediata

Si actualizar y reiniciar ahora mismo no es una opción, bloquea los módulos del kernel vulnerables. Es seguro aplicarlo en la mayoría de los servidores que no usan activamente el modo transporte de IPsec ni AFS:

echo 'install esp4 /bin/false'  | sudo tee    /etc/modprobe.d/dirtyfrag.conf
echo 'install esp6 /bin/false'  | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc 2>/dev/null

A continuación, vacía la page cache para expulsar cualquier página potencialmente alterada:

sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

No apliques esta medida si tu servidor utiliza activamente IPsec ESP o AFS/rxrpc — esos servicios dejarán de funcionar. En ese caso, prioriza la aplicación del parche y el reinicio lo antes posible.

Para deshacer la lista negra de módulos más adelante:

sudo rm /etc/modprobe.d/dirtyfrag.conf

Paso 2. Actualiza el kernel

En cuanto haya un kernel parcheado disponible para tu distribución, actualiza y reinicia.

AlmaLinux (parche disponible ahora en el repositorio testing):

sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot

Versiones del kernel con el parche:

  • AlmaLinux 8: kernel-4.18.0-553.123.2.el8_10 o posterior
  • AlmaLinux 9: kernel-5.14.0-611.54.3.el9_7 o posterior
  • AlmaLinux 10: kernel-6.12.0-124.55.2.el10_1 o posterior

Ubuntu / Debian:

sudo apt update && sudo apt upgrade linux-image-generic
sudo reboot

Rocky Linux / RHEL:

sudo dnf update kernel
sudo reboot

Tras el reinicio, comprueba que el nuevo kernel está en ejecución:

uname -r

Comprobación de la exposición a rxrpc

CVE-2026-43500 solo aplica si tienes instalado el paquete kernel-modules-partner. Compruébalo con:

rpm -q kernel-modules-partner

Si el paquete no está instalado, CVE-2026-43500 no te afecta.

Referencias

Ayuda

¿Tienes dudas o necesitas ayuda? Escríbenos a través del sistema de tickets — siempre estamos aquí para ayudarte!

¿Necesitas ayuda?Nuestros ingenieros te ayudarán gratuitamente con cualquier pregunta en minutosContáctanos