4月底披露的Linux内核本地提权漏洞Copy Fail（CVE-2026-31431）引发全球关注，没想到本周五（5月8日）又爆出另一组同样存在于Linux内核的本地提权漏洞Dirty Frag。当天，代号为0xdeadbeefnetwork（_SiCk）的研究人员在GitHub上公开了一个利用该漏洞的概念验证程序，命名为Copy Fail 2: Electric Boogaloo。

对此，微软表示，该漏洞利用了内核网络与内存碎片处理组件中的缺陷，主要涉及两大子系统：ESP（封装安全载荷）与RxRPC。其中，ESP子系统包含处理IPsec网络加密通信的esp4（IPv4的ESP）与esp6（IPv6的ESP），对应的漏洞编号为CVE-2026-43284，美国国家漏洞数据库（NVD）已发布相关信息，CVSSv3严重性评分为7.8分，属高危漏洞，Linux内核组织已发布多项补丁；而RxRPC子系统存在的漏洞为CVE-2026-43500，截至目前NVD尚未公布相关信息，也未发布修复方案。

微软指出，受Dirty Frag漏洞影响的Linux环境可能包括Ubuntu、RHEL、CentOS Stream、AlmaLinux、Fedora、openSUSE等主流发行版，以及容器平台OpenShift。

另一家安全厂商Wiz以列表形式详细列出了受Dirty Frag影响的Linux系统范围，除上述产品外，还具体标注了受影响版本：就ESP子系统而言，影响范围涵盖2017年至今的所有内核版本；就RxRPC子系统而言，影响范围涵盖2023年至今的所有内核版本。

除了影响广泛，Dirty Frag可能带来的具体安全威胁是什么？微软警告称，根据公开通报与概念验证（PoC）活动显示，相较于传统依赖条件竞争的本地提权手法，Dirty Frag的利用方式更加稳定可靠。攻击者可能在初始入侵、获得本地代码执行权限后采用此手法，具体场景包括：通过SSH使用已被入侵的账户访问、在面向互联网的应用系统中执行Web Shell、从容器逃逸至宿主机、入侵并滥用低权限系统服务账户，或在通过网络钓鱼、远程访问等方式入侵后，再利用Dirty Frag提升权限。

为缓解Dirty Frag漏洞，微软建议采取以下六项措施：首先，在保障系统运行的前提下，禁用非必要的内核模块；其次，评估esp4、esp6、xfrm（IP包转换框架）或IPsec等功能，确认是否可临时关闭；第三，限制不必要的本地shell访问；第四，强化容器化工作负载的安全配置；第五，加强监控异常的权限提升行为；第六，一旦厂商发布相关安全公告，优先部署内核补丁。

Wiz的缓解建议与微软基本一致，包括禁用存在漏洞的内核模块、在实施缓解措施前评估对系统运行的影响、补丁发布后立即部署、监控可疑活动。不同之处在于，Wiz还强调加强本地访问路径的权限控制，并在发现疑似漏洞利用行为时，立即启动清理流程。