脆弱性の概要
Alibaba Cloud Linux セキュリティチームは、Linux カーネルで最近公開された、Dirty Frag と総称される一連のローカルでの権限昇格の脆弱性を認識しています。これらの脆弱性は、カーネルのネットワークサブシステムにおけるソケットバッファ (skb) 内のページフラグメントの共有所有権に関する欠陥を悪用するものです。これにより、インプレース復号パスが、カーネルがプライベートに所有していないページデータを変更できるようになり、root へのローカルでの権限昇格につながる可能性があります。
Dirty Frag は 2 つの関連する CVE で構成され、それぞれ IPsec ESP モジュールと RxRPC モジュールに影響を与えます:
|
CVE ID |
影響を受けるモジュール |
重要度 |
|
CVE-2026-43284 |
|
高 |
|
CVE-2026-43500 |
|
高 |
一般に公開されている概念実証 (PoC) のエクスプロイトコードは、主要な Linux ディストリビューションにおいて、信頼性の高いローカルでの root 権限昇格を実証しています。攻撃者がターゲットシステム上で低権限での実行アクセス (例:標準ユーザーシェル、侵害された Web プロセス、またはコンテナエスケープの前提条件として) を獲得した場合、この脆弱性を悪用して影響を受けるノードを完全に侵害する可能性があります。
脆弱性の詳細
CVE-2026-43284 (ESP のインプレース復号の脆弱性)
脆弱性のメカニズム:
Linux カーネルの IPsec ESP 入力パスにおいて、ESP-in-UDP パケットを処理する際、MSG_SPLICE_PAGES、splice(2)、sendfile(2) などのメソッドを使用してパイプからソケットバッファ (skb) にページフラグメントが直接追加される場合、カーネルは skb に SKBFL_SHARED_FRAG フラグを設定する必要があります。このフラグは、パケットデータを変更する可能性のあるコードパスが、まずコピーオンライト (COW) を実行することを保証します。
しかし、IPv4/IPv6 パケット追加パスは、UDP skb のページフラグメントをスプライスする際に、SKBFL_SHARED_FRAG フラグを正しく設定できません。これにより、ESP 入力ハンドラーは、外部パイプページを含む skb を、通常の、クローンされていないリニアな skb として誤って解釈します。結果として、カーネルがプライベートに所有していない外部ページに対して、インプレース復号操作を直接実行してしまいます。
悪意のある攻撃者は、特定のパイプページレイアウトを作成して、ESP 復号段階で /etc/passwd のような重要なシステムファイルの内容など、機密性の高いページキャッシュデータを破損または公開する可能性があります。これにより、root へのローカルでの権限昇格につながる可能性があります。
影響を受けるカーネルバージョン:この脆弱性は Linux 4.11 で導入され、それ以降のすべての未パッチバージョンに影響します。
CVE-2026-43500 (RxRPC のページキャッシュ書き込みの脆弱性)
脆弱性のメカニズム:
Dirty Frag 脆弱性ファミリーのもう 1 つの構成要素である CVE-2026-43500 は、カーネルの rxrpc (Remote Procedure Call over RX) モジュールに存在します。根本原因は CVE-2026-43284 と同じです。RxRPC 受信パスも、共有 skb フラグメントに対してインプレース復号または書き込み操作を実行します。これらのフラグメントがパイプページなどの外部参照からのものである場合、カーネルは非プライベートデータを誤って変更し、ページキャッシュの破損と権限昇格につながります。
CVE-2026-43284 とは異なり、CVE-2026-43500 は主に rxrpc カーネルモジュールが有効になっているシステムに影響します。このモジュールは通常、一部のディストリビューションでは kernel-modules-extra や kernel-modules-partner のようなパッケージで提供されます。
影響を受ける製品とバージョン
以下の Alibaba Cloud Linux 製品およびバージョンが Dirty Frag 脆弱性の影響を受けます:
|
製品 |
カーネルバージョン |
影響を受けるCVE |
ステータス |
|
Alibaba Cloud Linux 2 |
4.19.91-28.5.al7 以前 |
CVE-2026-43284 |
影響あり |
|
Alibaba Cloud Linux 3 |
5.10.134-19.3.1.al8 以前 |
CVE-2026-43284 |
影響あり |
|
Alibaba Cloud Linux 4 |
6.6.102-5.3.1.alnx4 以前 |
CVE-2026-43284 |
影響あり |
Alibaba Cloud Linux のカーネルには、デフォルトで rxrpc モジュールは含まれていません。したがって、影響を受けるのは CVE-2026-43284 のみで、CVE-2026-43500 の影響は受けません。
緩和策
この脆弱性は xfrm-ESP モジュールを悪用します。このモジュールを緩和策として無効にすると、IPsec (VPN) サービスが中断される可能性があります。サービスがこのモジュールに依存している場合は、無効にする前に影響を評価してください。
xfrm-ESP モジュールを無効にするには:
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"
sudo rmmod esp4 esp6 2> /dev/null || true
修復
Alibaba Cloud Linux は、CVE-2026-43284 の脆弱性に対処するための公式パッチをリリースしています。
オペレーティングシステム | 修復の詳細 |
Alibaba Cloud Linux 4 | |
Alibaba Cloud Linux 4 (ホットパッチ) | |
Alibaba Cloud Linux 3 | |
Alibaba Cloud Linux 3 (ホットパッチ) |
以下のいずれかの方法で修正を適用してください:
システムアップグレード
できるだけ早く
yum updateコマンドを実行して、システムパッケージをアップグレードしてください。アップグレード後、パッチを有効にするにはインスタンスを再起動する必要があります。ホットパッチ
すぐに再起動できないシステムのために、Alibaba Cloud Linux はホットパッチを提供しています。ホットパッチのインストールと検証に関する詳細な手順については、「CVE-2026-43284のホットパッチ手順」をご参照ください。