Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша

13.05.2026 21:23 (MSK)

В ядре Linux выявлена четвёртая за последние две недели уязвимость (CVE-2026-46300), позволяющая непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Уязвимости присвоено кодовое имя Fragnesia или Copy Fail 3.0. Суть уязвимости аналогична ранее раскрытым уязвимостям Copy Fail и Dirty Frag. Как и в случае с Dirty Frag новая уязвимость присутствует в подсистеме xfrm-ESP, но вызвана другой ошибкой и требует отдельного исправления. Доступен рабочий эксплоит.

Уязвимость проявляется в ядрах Linux, выпущенных после 5 мая, из-за случайной активации исправлением уязвимости Dirty Frag. Для устранения уязвимости Fragnesia для ядра Linux было предложено исправление. Анализ данного исправления показал, что его недостаточно, после чего был подготовлен второй вариант патча.

Уязвимость присутствует в подсистеме xfrm в реализации механизма инкапсуляции протокола ESP (Encapsulating Security Payload) в TCP (ESP-in-TCP, RFC 8229), применяемой для туннелирования трафика IPsec поверх TCP. Для исключений лишней буферизации операции с использованием алгоритма AES-GCM выполнялись по месту через выполнение операции XOR к данным в страничном кэше. Из-за логической ошибки возникали условия, позволяющие перезаписать 1 байт в страничном кэше по выбранному смещению. Повторяя операции можно байт за байтом изменить содержимое любого файла в страничном кэше.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root, предварительного прочитанного для попадания в страничный кэш. В предложенном исследователями эксплоите первые 192 байт файла /usr/bin/su в страничном кэше перезаписываются кодом для запуска /usr/bin/sh. Последующий запуск утилиты "su" приводит к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Для эксплуатации уязвимости Fragnesia в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4 и esp6:


   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65441-fragnesia

Ключевые слова: fragnesia, kernel, linux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.6, Аноним (6), 22:38, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>Уязвимость проявляется в ядрах Linux, выпущенных после 5 мая https://www.kernel.org

2.19, Аноним (19), 23:39, 13/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Нужен новый линукс. отдельно ядро, отдельно права, каждый модуль отдельно. Свои ядра процессора, регистры, память и файловая система. Даёшь каждому процессу по собственному компу!

1.14, L29Ah (ok), 23:34, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: No such file or directory

2.21, L29Ah (ok), 23:39, 13/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
я думаю правильная строчка для проверки выглядит как unshare -U -r id

3.43, Аноним (43), 06:11, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
"id" необязателен, 'unshare' по дефолту setuid-ит себя в 0, замапав текущего юзера на 0 в новом неймспейсе. В ведроиде, походу, эта фишка либо совсем выпилена, либо закрыта selinuxом либо ещё чем-то.

1.17, Аноним (17), 23:37, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
>из-за случайной активации исправлением уязвимости Dirty Frag Одно лечим, другое калечим.

2.41, Аноним (41), 03:45, 14/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Не зря ее назвали Dirty Fag.

2.48, Аноним (48), 07:52, 14/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Это ИИ исправляет уязвимости сделанные людьми и преднамеренно вставляет свои. Со временем люди не будут иметь своих закладок в коде, а все закладки и бекдоры будет знать ИИ.

1.20, Аноним (20), 23:39, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> проявляется в ядрах Linux, выпущенных после 5 мая, из-за случайной активации исправлением уязвимости Dirty Frag Там Линус вообще хоть что-то проверяет?!

2.26, Аноним (17), 23:52, 13/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Тут надо систему управления проектом менять.

3.35, Аноним (35), 00:39, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
"Да тут всё прогнило, всю систему нужно менять"

2.27, Аноним (6), 23:53, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Так а откуда такой негатив ? Это же хорошо, что нашли и будут исправлять.

3.29, Аноним (17), 00:00, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
>Для устранения уязвимости Fragnesia для ядра Linux было предложено исправление. Анализ данного исправления показал, что его недостаточно, после чего был подготовлен второй вариант патча. Исправили dirty frag -> появилась fragnesia -> исправили -> опять уязвимость -> второй вариант исправления -> ... "и этот сон никогда не закончится ..."

4.30, Аноним (6), 00:05, 14/05/2026 [^] [^^] [^^^] [ответить]	+5 +/–
А какие есть варианты ? «Не ошибается тот, кто ничего не делает».

5.32, Аноним (32), 00:14, 14/05/2026 [^] [^^] [^^^] [ответить]	–5 +/–
> «Не ошибается тот, кто ничего не делает». Ошибается или портачит, вот в чём вопрос.

5.33, Аноним (33), 00:23, 14/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
повторно ошибается тот, кто занят не своим делом!

6.39, Аноним (6), 01:46, 14/05/2026 [^] [^^] [^^^] [ответить]	+7 +/–
Ваше портфолио можно посмотреть ?

7.52, Аноним (52), 08:56, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
А Ваше портфолио можно посмотреть ?

3.51, 12yoexpert (ok), 08:45, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
это местные чемоданоботы не любят Линуса, ибо тот дал пинка под зад работникам террористических организаций на территории рф

4.54, Аноним (54), 09:04, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
Например?

2.38, Аноним (38), 01:46, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
Дак патч в linux-next ветке был несколько дней, что сам не проверил?

1.34, Аноним (34), 00:32, 14/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что это за клоунада с ядрами вообще? https://www.opennet.me/kernel/6.18.28.html https://www.opennet.me/kernel/6.18.29.html

1.36, Аноним (35), 00:41, 14/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А разгадка oдна: безблагодатность убогого монолита, мапящего всю память на запись.

2.40, Оно ним (-), 02:36, 14/05/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Давайте-давайте, расскажите нам про микроядра и их прекрасную изоляцию (и вытекающую из этого тормознутость).

3.53, Аноним (52), 08:58, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
Безопасность стоит того.

2.44, Аноним (44), 06:22, 14/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Это где вы нашли такой монолит?

2.45, Аноним (43), 06:26, 14/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Линукс давно пишется, переписывается и подчищается на заказ бигтеху Старые др... большой текст свёрнут, показать

3.47, Аноним (47), 07:08, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
> Стать мейнтейнером в ядре и нахаляву сидеть в мейлинг листе мониторить всё, что может в совсем другой подсистеме (как в данном случае) сломать твой код или открыть уязвимость? Но ведь оно изначально так и было.

3.50, Аноним (50), 08:36, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
Вот и получается, что ядро надо было писать под гплв3 и его имя хурд

1.37, Аноним (37), 00:44, 14/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что, опять?

2.49, Аноним (49), 08:36, 14/05/2026 [^] [^^] [^^^] [ответить]	+/–
IPsec - такой sec.

1.46, Аноним (43), 06:38, 14/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Короче, ничего не поменялось. Всё, что хоть отдалённо связано с криптой и туда может написать непривилегированный юзер, надо отрубать. И фаервол походу тоже придётся в юзерспейс вытаскивать. А то nftables тоже в первую очередь используют для masquerade на форвардящихся пакетах, и стейт там меняется постоянно от рандомных пакетов что WAN, что LAN.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: