更新时间:2026-05-11 GMT+08:00
Linux内核权限提升漏洞公告(CVE-2026-43284、CVE-2026-43500)
近期,业界公开了一个Linux内核高危本地权限提升(LPE)漏洞。它是继不久前的Copy Fail(CVE-2026-31431)之后,又一个利用内核页面缓存(Page Cache)写原语实现提权的逻辑漏洞,该漏洞被命名为Dirty Frag,可导致容器逃逸、权限提升,详情如下:
- CVE-2026-43284(xfrm/ESP路径):攻击者通过splice()系统调用,将自己仅有读权限的页缓存页注入到网络数据包(skb)的frag槽位中。当内核在网络接收侧进行IPsec(ESP)加密/解密操作时,会原地修改该frag指向的内存页。由于内核未校验调用者对该页是否具备写权限,导致攻击者可以非授权地篡改只读文件(如/etc/passwd或SUID二进制文件)的页缓存,进而实现提权。
- CVE-2026-43500(RxRPC路径):原理与前者类似,但利用的是rxrpc网络协议组件在处理共享页面片段时的逻辑缺陷。这个变体作为备用路径,扩大了漏洞在不同Linux发行版上的覆盖范围。
漏洞详情
| 漏洞类型 | CVE-ID | 漏洞级别 | 披露/发现时间 |
|---|---|---|---|
| 权限提升 | 严重 | 2026-05-08 | |
| 权限提升 | CVE-2026-43500 | 严重 | 2026-05-08 |
漏洞影响
根据披露,受影响OS镜像版本为:
- CVE-2026-43284:社区从4.11版本引入,若内核版本小于4.11则不受影响。
- CVE-2026-43500:社区从6.5版本引入,若内核版本小于6.5则不受影响。
判断方法
- 当前华为云CCE使用的镜像内核均低于6.5,不受CVE-2026-43500影响。
- 如果集群节点OS是CentOS 7.6、Huawei Cloud EulerOS 1.1,由于内核版本低于3.15,不在漏洞影响范围内。
- 对于Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,采用如下命令查看内核版本:
uname -a
若查询结果>= 4.11 ,则受漏洞CVE-2026-43284影响。
漏洞消减方案
- 方案一:通过禁用内核模块消减 针对Huawei Cloud EulerOS 2.0、EulerOS 2.9、EulerOS 2.10操作系统,操作步骤如下:
# 查看模块是否加载 # 1)esp4,esp6用于IPsec等内核态密码学加速,执行下列命令,查看模块是否加载,如果 lsmod 输出不为空,考虑使用方案二: lsmod|grep esp # 禁用相关内核模块,无需重启 echo "install esp4 /bin/false" >> /etc/modprobe.d/disable-esp.conf echo "install esp6 /bin/false" >> /etc/modprobe.d/disable-esp.conf
- 方案二:在容器工作负载中,开启默认seccomp配置,详情请参见使用seccomp限制容器的系统调用。
Pod配置示例如下(对特权容器可能无效):
... spec: securityContext: seccompProfile: type: RuntimeDefault ...若已使用自定义seccomp,在配置文件中禁用unshare系统调用:... "syscalls":[{"names":["unshare"],"action":"SCMP_ACT_ERRNO"}] ...
请结合业务需求选择方案,并在测试环境充分验证后再实施。
漏洞修复方案
针对Huawei Cloud EulerOS 2.0、Ubuntu 22.04操作系统,CCE和相关团队将发布新版本OS修复,请关注操作系统镜像版本说明。
针对EulerOS 2.9、EulerOS 2.10操作系统,当前已经EOS,请切换到Huawei Cloud EulerOS 2.0或Ubuntu 22.04操作系统。
在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。
