麒麟信安关于Linux内核Dirty Frag漏洞修复说明
分类:公司新闻 发布时间:2026-06-04
5月7日,麒麟信安安全团队关注到 Linux Kernel Dirty Frag 高危安全漏洞。该问题涉及 xfrm-ESP(CVE-2026-43284)与 RxRPC(CVE-2026-43500)两个内核模块,攻击者在获得本地普通用户权限后,可利用漏洞对页缓存数据进行篡改,进而实现稳定提权,对系统安全造成严重威胁。针对该漏洞,麒麟信安已完成相关分析和补丁测试,并提供对应安全修复方案,建议用户尽快排查系统受影响情况并及时进行防护处置。
1.漏洞信息汇总
2.漏洞影响范围
麒麟信安操作系统受影响情况如下:
3.漏洞影响自查
先用uname -a查看内核版本,如果版本小于 4.19,不涉及该漏洞;如果大于等于4.19,则继续检查INET_ESP、INET6_ESP配置。使用以下命令查看内核配置项:
grep -wE 'CONFIG_INET_ESP|CONFIG_INET6_ESP' /boot/config-$(uname -r)
判断结果如下:
☑ 如果输出
CONFIG_INET_ESP=y CONFIG_INET6_ESP=y
表示已内建进内核,存在风险
☑ 如果输出
CONFIG_INET_ESP=m CONFIG_INET6_ESP=m
表示以模块形式存在,存在风险
☑ 如果无输出或显示
CONFIG_INET_ESP is not set #CONFIG_INET6_ESP is not set
表示未启用该功能,不受影响
4.漏洞修复方法
我司已完成该漏洞修复。请前往官网安全公告页面,根据指引下载并获取相应内核包。生产环境升级前,请务必提前做好备份及回滚方案准备,以确保升级过程安全可控。
安全公告地址:
https://cve.kylinsec.com.cn/security_bulletin_details/?id=17050
注意:内核升级需要重启系统,且属于系统核心组件,操作不当可能导致系统不可用或严重影响稳定性。强烈建议在升级前联系我司技术支持,以确保升级安全可靠。
5.漏洞规避方法
目前麒麟信安已完成该漏洞修复。对于暂不便进行内核升级的用户,可先通过以下规避措施解决该漏洞风险。
(1) 前置判断:确认模块是否编译
输出=m:表示是加载内核模块,可以用下面的规避方案。
无输出或输出is not set表示没有编译,系统不受影响。
(2) 规避配置步骤
上述命令说明如下:
在 /etc/modprobe.d/dirtyfrag.conf 中创建模块加载限制配置,将 esp4、esp6、rxrpc 三个模块的安装操作重定向为 /bin/false,从而禁止后续再次加载相关模块。
立即尝试卸载当前系统中已加载的 esp4、esp6、rxrpc 模块;若模块当前未加载,则忽略对应错误信息。
通过 true 保证命令整体返回成功,避免因部分模块未加载导致脚本执行中断。
(3) 验证方法
用root用户执行
如果返回类似下面的信息,表示有漏洞的内核模块加载失败,规避措施生效。
modprobe: ERROR: Error running install command '/bin/false' for module esp4: retcode 1
modprobe: ERROR: could not insert 'esp4': Invalid argument
(4) 注意事项
1. 规避措施为临时方案,建议使用官方补丁升级,彻底修复漏洞。
2. 该操作会导致IPsec ESP 完全失效:StrongSwan、Libreswan、OpenVPN IPsec 模式及所有站点到站点 IPsec 隧道均无法使用。
3. 操作需使用root权限执行。
如果您在操作过程中遇到了问题,欢迎您扫描以下二维码提交工单/咨询/建议问题,我们会及时联系您,谢谢!
麒麟信安关于Linux内核Dirty Frag漏洞修复说明
分类:公司新闻 发布时间:2026-06-04
5月7日,麒麟信安安全团队关注到 Linux Kernel Dirty Frag 高危安全漏洞。该问题涉及 xfrm-ESP(CVE-2026-43284)与 RxRPC(CVE-2026-43500)两个内核模块,攻击者在获得本地普通用户权限后,可利用漏洞对页缓存数据进行篡改,进而实现稳定提权,对系统安全造成严重威胁。针对该漏洞,麒麟信安已完成相关分析和补丁测试,并提供对应安全修复方案,建议用户尽快排查系统受影响情况并及时进行防护处置。
1.漏洞信息汇总
2.漏洞影响范围
麒麟信安操作系统受影响情况如下:
3.漏洞影响自查
先用uname -a查看内核版本,如果版本小于 4.19,不涉及该漏洞;如果大于等于4.19,则继续检查INET_ESP、INET6_ESP配置。使用以下命令查看内核配置项:
grep -wE 'CONFIG_INET_ESP|CONFIG_INET6_ESP' /boot/config-$(uname -r)
判断结果如下:
☑ 如果输出
CONFIG_INET_ESP=y CONFIG_INET6_ESP=y
表示已内建进内核,存在风险
☑ 如果输出
CONFIG_INET_ESP=m CONFIG_INET6_ESP=m
表示以模块形式存在,存在风险
☑ 如果无输出或显示
CONFIG_INET_ESP is not set #CONFIG_INET6_ESP is not set
表示未启用该功能,不受影响
4.漏洞修复方法
我司已完成该漏洞修复。请前往官网安全公告页面,根据指引下载并获取相应内核包。生产环境升级前,请务必提前做好备份及回滚方案准备,以确保升级过程安全可控。
安全公告地址:
https://cve.kylinsec.com.cn/security_bulletin_details/?id=17050
注意:内核升级需要重启系统,且属于系统核心组件,操作不当可能导致系统不可用或严重影响稳定性。强烈建议在升级前联系我司技术支持,以确保升级安全可靠。
5.漏洞规避方法
目前麒麟信安已完成该漏洞修复。对于暂不便进行内核升级的用户,可先通过以下规避措施解决该漏洞风险。
(1) 前置判断:确认模块是否编译
输出=m:表示是加载内核模块,可以用下面的规避方案。
无输出或输出is not set表示没有编译,系统不受影响。
(2) 规避配置步骤
上述命令说明如下:
在 /etc/modprobe.d/dirtyfrag.conf 中创建模块加载限制配置,将 esp4、esp6、rxrpc 三个模块的安装操作重定向为 /bin/false,从而禁止后续再次加载相关模块。
立即尝试卸载当前系统中已加载的 esp4、esp6、rxrpc 模块;若模块当前未加载,则忽略对应错误信息。
通过 true 保证命令整体返回成功,避免因部分模块未加载导致脚本执行中断。
(3) 验证方法
用root用户执行
如果返回类似下面的信息,表示有漏洞的内核模块加载失败,规避措施生效。
modprobe: ERROR: Error running install command '/bin/false' for module esp4: retcode 1
modprobe: ERROR: could not insert 'esp4': Invalid argument
(4) 注意事项
1. 规避措施为临时方案,建议使用官方补丁升级,彻底修复漏洞。
2. 该操作会导致IPsec ESP 完全失效:StrongSwan、Libreswan、OpenVPN IPsec 模式及所有站点到站点 IPsec 隧道均无法使用。
3. 操作需使用root权限执行。
如果您在操作过程中遇到了问题,欢迎您扫描以下二维码提交工单/咨询/建议问题,我们会及时联系您,谢谢!
