Dirty Frag는 Linux 커널의 sk_buff 구조체 frag 멤버를 오염시키는 버그 클래스로, Dirty Pipe·Copy Fail과 동일한 계열에 속합니다.
xfrm-ESP Page-Cache Write와 RxRPC Page-Cache Write 두 취약점을 체이닝하여 Ubuntu, RHEL, Fedora 등 주요 배포판에서 비특권 사용자가 root 권한을 획득할 수 있습니다.
| 항목 | 내용 |
|---|---|
| 취약점 | Dirty Frag (xfrm-ESP Page-Cache Write + RxRPC Page-Cache Write) |
| 취약점 공개일 | 2026년 5월 7일 (엠바고 파기로 조기 공개) |
| 취약점 점수 | CVE 미발급 CVSS 미정 |
| 설명 | splice()를 통해 공격자가 읽기 전용 접근만 가진 페이지 캐시 페이지를 sk_buff의 frag에 심으면, 수신 측 커널 코드가 해당 frag 위에서 in-place 암호 연산을 수행합니다. |
| 결과적으로 /etc/passwd, /usr/bin/su 등 시스템 파일의 페이지 캐시가 RAM 상에서 변조되어 root 권한 획득으로 이어집니다. | |
| 취약점 영향 제품 | • Ubuntu 24.04.4 |
| • RHEL 10.1 | |
| • Fedora 44 | |
| • openSUSE Tumbleweed | |
| • CentOS Stream 10 | |
| • AlmaLinux 10 | |
| • Linux kernel 커밋 cac2661 (2017-01) 이후 전체 | |
| 패치 현황 | 공식 패치 없음 (임시 완화책만 존재) |
| PoC 공개 여부 | 공개됨 (엠바고 파기로 인해 조기 공개) |
| 악용 사례 | 엠바고 파기 직후 제3자가 PoC를 공개하여 실제 익스플로잇 코드가 인터넷에 유포됨. |
| Copy Fail(algif_aead 블랙리스트) 완화 조치를 적용한 시스템에서도 동일하게 취약함. |
Dirty Frag가 특히 주목받는 이유는 단순히 권한 상승이 가능해서가 아닌 아래 특징들 때문에 실제 공격 가능성이 매우 높습니다.
| 날짜 | 이벤트 |
|---|---|
| 📍 2026-04-29 | RxRPC 취약점 상세 정보 및 익스플로잇을 [email protected]에 제출, netdev 메일링 리스트에 패치 제출 (정보 공개됨) |
| 📍 2026-04-30 | ESP 취약점 상세 정보 및 익스플로잇 제출, netdev 메일링 리스트에 패치 제출 |
| 📍 2026-04-30 (+9h) | Kuan-Ting Chen이 ESP 취약점을 독립적으로 재발견 후 [email protected]에 보고 |
| 📍 2026-05-04 | Kuan-Ting Chen이 shared-frag 방식 패치를 netdev 메일링 리스트에 제출 |
| 📍 2026-05-07 | ESP 취약점 패치가 netdev 트리에 머지 완료 |
| linux-distros 메일링 리스트에 상세 정보 제출 (5일 엠바고 설정) | |
| 무관한 제3자가 인터넷에 익스플로잇 공개 → 엠바고 파기 | |
| 배포판 메인테이너들 동의 하에 Dirty Frag 전체 문서 및 PoC 전면 공개 | |
| 📍 2026-05-08 | 각 배포판 공식 패치 미적용 상태 (임시 완화책만 존재) |