Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Escalada local de privilegios en el kernel de Linux, Dirty Frag

Fecha de publicación 11/05/2026
Identificador
INCIBE-2026-336
Importancia
4 - Alta
Recursos Afectados

Al menos las siguientes distribuciones de Linux desde versiones de 2017 hasta la actualidad:

  • Ubuntu;
  • RHEL;
  • openSUSE Tumbleweed;
  • CentOS Stream;
  • AlmaLinux;
  • Fedora.

El las últimas versiones en las que han sido probadas son:

  • Ubuntu 24.04.4, 6.17.0-23-generic;
  • RHEL 10.1, 6.12.0-124.49.1.el10_1.x86_64;
  • openSUSE Tumbleweed, 7.0.2-1-default;
  • CentOS Stream 10, 6.12.0-224.el10.x86_64;
  • AlmaLinux 10, 6.12.0-124.52.3.el10_1.x86_64;
  • Fedora 44, 6.19.14-300.fc44.x86_64.
Descripción

Hyunwoo Kim (@v4bel) ha descubierto dos vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir obtener privilegios de root en la mayoría de las principales distribuciones de Linux, incluidas Ubuntu, RHEL, Fedora, AlmaLinux y CentOS Stream.

Solución

Los problemas están parcheados en las líneas principales (mainline) de Linux:

Como medida de mitigación se recomienda utilizar el siguiente comando para eliminar los módulos en los que se produce esta vulnerabilidad y limpiar la caché de la página:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Al menos para distribuciones Ubuntu, también puede seguir los pasos indicados por la distribución y que puede consultar en los enlaces de las referencias.

Detalle
  • CVE-2026-43284: afecta a los módulos de soporte para el protocolo ESP (Encapsulating Security Protocol). El fallo reside en la gestión de fragmentos skb compartidos mediante MSG_SPLICE_PAGES. Al intentar evitar el descifrado in situ, el sistema puede adjuntar páginas de una tubería (pipe) directamente a un skb, comprometiendo la integridad de los datos.
  • CVE-2026-43500: afecta al protocolo RxRPC, utilizado por el sistema de archivos distribuido AFS. El error radica en una gestión incorrecta al "descompartir" paquetes de tipo DATA o RESPONSE cuando existen fragmentos paginados presentes en rxrpc.

Ambas vulnerabilidades, conocidas conjuntamente como Dirty Frag, no dependen de condiciones de carrera ni de ventanas de tiempo precisas, sino de un error de lógica determinista. Esto garantiza una alta tasa de éxito en la explotación y, dado que un fallo en el proceso no provoca un 'kernel panic', permite intentos de intrusión persistentes. Según informes de Ubuntu, en hosts estándar la vulnerabilidad permite a un usuario local elevar privilegios a root. Sin embargo, en entornos de contenedores con cargas de trabajo de terceros, también puede facilitar escenarios de escape del contenedor hacia el host.

Aunque se consideran "descendientes" de Dirty Pipe por su naturaleza, su remediación es totalmente independiente. Es importante destacar que disponer de mitigaciones contra Copy Fail no protege contra Dirty Frag, por lo que es imprescindible aplicar los parches específicos para estos nuevos CVE.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-43284 Alta Si Linux
CVE-2026-43500 Alta Si Linux
Listado de referencias
GitHub - V4bel / dirtyfrag
GitHub - dirtyfrag/assets /write-up.md
Ubuntu - Dirty Frag Linux kernel local privilege escalation vulnerability mitigations
Hispasec - Dirty Frag: la nueva vulnerabilidad zero-day en Linux con PoC público que permite escalar privilegios a root en múltiples distribuciones
Security Affairs - Dirty Frag: A new Linux privilege escalation vulnerability is already in the wild
The Hacker News - Linux Kernel Dirty Frag LPE Exploit Enables Root Access Across Major Distributions
Etiquetas