A distanza di pochi giorni da Copy Fail, il ricercatore di sicurezza Hyunwoo Kim ha pubblicato i dettagli di due nuove vulnerabilità del kernel Linux, denominate Dirty Frag, che consentono di ottenere privilegi root. Anche in questo caso sono interessate quasi tutte le distribuzioni. Al momento è disponibile la patch per una vulnerabilità.
Descrizione delle vulnerabilità
Il ricercatore aveva segnalato le due vulnerabilità a fine aprile. Qualcuno ha violato l’embargo, quindi ha deciso di pubblicare tutti i dettagli e il codice sorgente dell’exploit su GitHub. Dirty Frag è il nome assegnato all’exploit che sfrutta le due vulnerabilità (CVE-2026-43284 e CVE-2026-43500) dei moduli esp4/esp6 e rxrpc del kernel.
I moduli esp4/esp6 forniscono supporto per ESP (Encapsulating Security Protocol), uno dei protocolli utilizzati per IPsec (Internet Protocol Security). Il modulo rxrpc fornisce invece supporto per RxRPC, un protocollo utilizzato per AFS (Andrew File System). Le vulnerabilità sono simili a quella di Copy Fail, in quanto permettono di manipolare la page cache. Un utente con account locale può ottenere privilegi root e quindi eseguire qualsiasi azione, tra cui la disattivazione delle funzionalità di sicurezza e il furto di credenziali.
Il ricercatore ha confermato l’esistenza delle vulnerabilità in Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 e Fedora 44, ma sono presenti in quasi tutte le distribuzioni rilasciate negli ultimi 9 anni. Nel caso di Ubuntu, il problema di sicurezza riguarda le versioni a partire dalla 14.04 LTS.
La patch per la vulnerabilità CVE-2026-43284 è stata già rilasciata, mentre quella per la vulnerabilità CVE-2026-43500 non è ancora disponibile. In attesa degli aggiornamenti per le varie distribuzioni, gli utenti possono disattivare i suddetti moduli con questo comando. Ovviamente non funzioneranno più IPsec e AFS.
Ti potrebbe interessare
9 mag 2026