Vulnerabilità Dirty Frag (CVE-2026-43284, CVE-2026-43500)
Una vulnerabilità critica nel kernel Linux — ecco cosa fare subito.
Il 7 maggio 2026, il ricercatore Hyunwoo Kim ha divulgato pubblicamente una vulnerabilità critica del kernel Linux chiamata Dirty Frag. Consente a qualsiasi utente locale non privilegiato — o a un processo in esecuzione all'interno di un container — di ottenere accesso root completo sul sistema host.
Un exploit pubblico funzionante è già in circolazione. È necessario intervenire oggi stesso.
Aggiornamenti in tempo reale
Questo articolo viene aggiornato man mano che nuove patch e dettagli sulla vulnerabilità diventano disponibili.
Che cos'è Dirty Frag
La vulnerabilità risiede nel codice di decifratura fast-path per IPsec ESP e rxrpc. Quando un buffer socket trasporta frammenti paginati che non sono di proprietà esclusiva del kernel (ad esempio, pagine collegate tramite splice(2), sendfile(2) o MSG_SPLICE_PAGES), il kernel decifra i dati direttamente su quelle pagine gestite esternamente — esponendo o corrompendo il testo in chiaro a cui un processo non privilegiato detiene ancora un riferimento.
Dirty Frag è in realtà la combinazione di due bug distinti:
- CVE-2026-43284 — interessa IPsec ESP (
esp4/esp6), presente in tutte le distribuzioni principali dal 2017 - CVE-2026-43500 — interessa
rxrpc, rilevante solo sui sistemi con il pacchettokernel-modules-partnerinstallato
Chi è interessato
La vulnerabilità è presente in tutti i kernel Linux moderni con supporto xfrm/ESP:
- AlmaLinux 8, 9, 10
- Rocky Linux, RHEL e derivate
- Ubuntu, Debian e derivate
È particolarmente pericolosa su server dedicati e ambienti containerizzati (Docker, LXC, Kubernetes) — può essere sfruttata per fuggire da un container e compromettere l'host.
Passaggio 1. Mitigazione immediata
Se un aggiornamento e un riavvio immediati non sono possibili, blocca i moduli del kernel vulnerabili. È sicuro applicare questa misura sulla maggior parte dei server che non usano attivamente la modalità trasporto IPsec o AFS:
echo 'install esp4 /bin/false' | sudo tee /etc/modprobe.d/dirtyfrag.conf
echo 'install esp6 /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc 2>/dev/null
Svuota poi la page cache per espellere eventuali pagine potenzialmente alterate:
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'
Non applicare questa misura se il tuo server usa attivamente IPsec ESP o AFS/rxrpc — quei servizi smetteranno di funzionare. In quel caso, dai priorità all'applicazione della patch e al riavvio il prima possibile.
Per annullare in seguito la blacklist dei moduli:
sudo rm /etc/modprobe.d/dirtyfrag.conf
Passaggio 2. Aggiorna il kernel
Non appena una versione del kernel corretta è disponibile per la tua distribuzione, esegui l'aggiornamento e riavvia.
AlmaLinux (patch disponibile ora nel repository testing):
sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot
Versioni del kernel con la patch:
- AlmaLinux 8:
kernel-4.18.0-553.123.2.el8_10o successivo - AlmaLinux 9:
kernel-5.14.0-611.54.3.el9_7o successivo - AlmaLinux 10:
kernel-6.12.0-124.55.2.el10_1o successivo
Ubuntu / Debian:
sudo apt update && sudo apt upgrade linux-image-generic
sudo reboot
Rocky Linux / RHEL:
sudo dnf update kernel
sudo reboot
Dopo il riavvio, verifica che il nuovo kernel sia attivo:
uname -r
Verifica dell'esposizione a rxrpc
CVE-2026-43500 si applica solo se hai il pacchetto kernel-modules-partner installato. Verifica con:
rpm -q kernel-modules-partner
Se il pacchetto non è installato, CVE-2026-43500 non ti riguarda.
Riferimenti
- NVD: CVE-2026-43284
- Debian Security Tracker
- AlmaLinux Blog
- Divulgazione pubblica su oss-security
- Write-up del ricercatore
- Fix upstream ESP
- Fix rxrpc su netdev
Aiuto
Hai domande o ti serve una mano? Scrivici tramite il sistema di ticket — siamo sempre qui per aiutarti!