どちらの権限昇格の脆弱性も、カーネルによるメモリ内ページ キャッシュの処理エラーが原因で発生し、信頼できないユーザーによるキャッシュの変更が可能になります。これらは、ネットワーク コンポーネントのキャッシュとメモリ フラグメントの処理を対象としています。具体的には、CVE-2026-43284 は esp4 および esp6() プロセスを攻撃し、CVE-2026-43500 は rxrpc を攻撃します。先週の CopyFail は、IPsec 拡張シーケンス番号に使用される認証の AEAD テンプレート プロセスにあるページ キャッシュの欠陥を悪用しました。 Dirty Pipe と呼ばれる 2022 年の脆弱性も、攻撃者がページ キャッシュを上書きできる欠陥によって発生しました。
セキュリティ企業 Automox の研究者は次のように書いています。
Dirty Frag は Dirty Pipe や Copy Fail と同じバグ ファミリに属しますが、ターゲットとするのは 断片 コアメンバー 構造体sk_buff の代わりに パイプバッファ。エクスプロイトの使用方法 スプライス() 読み取り専用ページのキャッシュ ページへの参照を植え付けます (例: /etc/パスワード または /usr/bin/su) いいえ 断片 送信機の片側にあるスロット skb。次に、受信側のカーネル コードは、そのフラグメントに対してインプレース暗号化操作を実行し、RAM 内のページ キャッシュを変更します。たとえ攻撃者が読み取りアクセスしか持っていなかったとしても、その後ファイルを読み取るたびに破損したバージョンが表示されます。
CVE-2026-43284 は、ESP IPsec 受信パスの esp_input() プロセスで見つかります。 skb オブジェクトが非線形であるがフラグメント リストがない場合、コードは skb_cow_data() をスキップし、植えられたフラグメントの代わりに AEAD をデコードします。そこから、攻撃者はファイルのオフセットと各ストアの 4 バイトの値を制御できます。
一方、CVE-2026-43500 は rxkad_verify_packet_1() に存在します。このプロセスでは、単一ブロック プロセスを使用して RxRPC ペイロードを復号化します。結合されたページがソースとターゲットになります。これに、add_key (rxrpc) を使用して自由に抽出される復号キーと組み合わせると、攻撃者はメモリ内の内容を書き換えることができます。
個別に使用される保有資産はどれも信頼できません。一部の Ubuntu 構成では、AppArmor を使用して、信頼できないユーザーが名前空間コンテンツを作成できないようにします。これにより、ESP 技術が無力化されます。他のほとんどのディストリビューションはデフォルトでは rxrpc.ko を実行しないため、RxRPC アームが無効になります。ただし、この 2 つのエクスプロイトを連鎖させると、攻撃者は Kim がテストしたすべての主要なディストリビューション上で root を取得できます。エクスプロイトが実行されると、攻撃者は SSH アクセス、Web シェルの実行、コンテナーのエスケープを使用したり、権限の低いアカウントを侵害したりする可能性があります。
「ダーティフラグは、エクスプロイトの信頼性を向上させるために、rxrpcおよびesp/xfrmネットワークコンポーネントを含むいくつかのカーネル攻撃パスを導入しているため、注目に値します」とMicrosoftの研究者は書いている。 「ダーティ フラグは、ローカル Linux の特権昇格エクスプロイトによく関係する狭い時間枠や不安定な破損状況に依存するのではなく、脆弱な環境での一貫性を高めるように設計されているようです。」
Google傘下のWizの研究者らは、デフォルトのセキュリティ設定を備えたKubernetesのような強化されたコンテナ化環境からエクスプロイトが出現する可能性は低くなる、と述べた。 「ただし、仮想マシンやそれほど制限のない環境では、リスクは依然として重大です。」
Linux を使用している人にとっての最善の答えは、すぐにパッチをインストールすることです。修正には再起動が必要になる可能性がありますが、ダーティ フラグのような深刻な脅威に対する保護は中断によるコストを上回ります。すぐにインストールできない人は、上記のリンク先の投稿で概説されている緩和手順に従う必要があります。追加のガイダンスはここでご覧いただけます。
