Copy Fail、Dirty Frag 、Fragnesia、ptrace ,kernel linux提权 信创解决方案

背景

近期曝出的4个漏洞信息如下：
1、Linux Kernel Copy Fail 本地权限提升漏洞(CVE-2026-31431)
攻击者可以利用 AF_ALG 加密接口与 splice() 系统调用的组合，向任意可读文件的页缓存写入受控的4字节数据，从而篡改 setuid 程序，无需竞争条件即可直接获得 root 权限。漏洞影响 2017 年至补丁发布前构建的几乎所有 Linux 内核版本。
参考链接：【已复现】Linux Kernel "Copy Fail" 本地权限提升漏洞(CVE-2026-31431)安全风险通告https://mp.weixin.qq.com/s/-5nohB52WQtD3lV7xInIKg
2、Linux Kernel Dirty Frag 本地权限提升漏洞
攻击者可以实现对页缓存的写入，从而在几乎所有主流Linux发行版上稳定提权。漏洞影响xfrm-ESP从 2017 年至今的所有上游内核，RxRPC从 2023 年 6 月至今的上游内核。
参考链接：【已复现】Linux Kernel Dirty Frag 本地权限提升漏洞(QVD-2026-24699)安全风险通告https://mp.weixin.qq.com/s/w2QmIPA-WtBPgPEWijNbmA
3、Linux Kernel Fragnesia 本地权限提升漏洞(CVE-2026-46300)
本地非特权用户可通过splice和espintcp ULP组合操作，逐字节篡改文件页缓存（如/usr/bin/su），从而在不写入磁盘的情况下执行提权代码获取root权限。漏洞影响2026年5月13日之前修复发布的所有相关内核版本。
参考链接：【已复现】Linux Kernel Fragnesia 本地权限提升漏洞(CVE-2026-46300)安全风险通告https://mp.weixin.qq.com/s/cs8GKRAk6IGzxEpmMs-Y5Q
4、Linux Kernel ptrace 本地权限提升漏洞
本地低权限攻击者可利用 pidfd_getfd 窃取高权限文件描述符，读取 /etc/shadow 和 SSH 主机私钥等敏感文件并实现权限提升。漏洞影响2026年5月14日之前修复发布的所有相关内核版本。
参考链接：【已复现】Linux Kernel ptrace 本地权限提升漏洞(QVD-2026-26977)安全风险通告https://mp.weixin.qq.com/s/SIs8VZVo_vnjeVuBB7NGsA

CVE-2026-31431 (Linux Kernel Copy Fail)

近日，Linux 内核披露本地提权漏洞 CVE-2026-31431（Copy Fail），该漏洞源于内核加密子系统中的一处逻辑缺陷，攻击者可以利用 AF_ALG 加密接口与 splice() 系统调用的组合，向任意可读文件的页缓存写入受控的4字节数据，从而篡改 setuid 程序，无需竞争条件即可直接获得 root 权限，目前该漏洞PoC和技术细节已公开

欧拉解决方案：

https://mp.weixin.qq.com/s/qCwPRljyFoiBpdVB3pMScg

欧拉

欧拉缓解方案：

在无法更新修复补丁的情况下可尝试采取以下规避措施：

1. algif_aead模块禁用

`algif_aead.ko` 为 crypto 框架层提供的 socket 用户态接口，受 `CONFIG_CRYPTO_USER_API_AEAD` 控制（`=m` 时编译成模块，`=y` 是编译进内核），openEuler默认发布的内核是编译进内核的，因此禁用该模块的规避措施不可用，基于openEuler内核将此模块编译为ko的情况下可禁止此模块加载进行规避。

2. Seccomp禁止相关 syscall

seccomp 是进程级别的控制机制，通过 seccomp 禁止进程使用带有 `AF_ALG` 标志位的 socket。适用容器场景，通过更改容器管理器（如 docker）配置，给新创建的容器增加 seccomp 规则，阻止新容器使用 `AF_ALG` socket。

Linux Kernel Dirty Frag (QVD-2026-24699)

近期Linux 又爆 Dirty Frag严重漏洞，该漏洞链由韩国安全研究员 Hyunwoo Kim 发现，该漏洞实际包含2个漏洞，涉及xfrm-ESP（CVE-2026-43284）和RxRPC（CVE-2026-43500）模块，两者都是通过 splice() 系统调用将文件 page cache 页直接挂到 skb，利用解密路径不复制页面内容而是原地写入的逻辑来篡改page cache内容，实现提权。这个漏洞是两个cve共同实现：CVE-2026-43284,cve-2026-43500

poc:

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp ​

欧拉：

https://mp.weixin.qq.com/s/47YIcMtAOYk_GDB95N6luQ

请评估业务是否受影响后，及时实施缓解措施：

1.禁用相关内核模块，无需重启。

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"

sudo rmmod esp4 esp6 rxrpc 2>/dev/null ||true

2.针对xfrm-ESP禁止普通用户使用unshare系统调用创建user namespace

sudo sh -c "echo 0 > /proc/sys/user/max_user_namespaces

Linux Kernel Fragnesia 本地权限提升漏洞(CVE-2026-46300)

欧拉

不影响：

poc:

https://github.com/0xBlackash/CVE-2026-46300.git

临时缓解方案：

rmmod esp4 esp6 rxrpcprintf 'install esp4/bin/false\ninstall esp6/bin/false\ninstall rxrpc/bin/false\n'>/etc/modprobe.d/fragnesia.conf

Linux Kernel ptrace 本地权限提升漏洞(CVE-2026-46333)

一个潜伏了近9年的Linux高危系统内核漏洞（代号 ssh-keysign-pwn），该漏洞允许本地低权限用户绕过权限检查，读取系统敏感文件（如 SSH 私钥、密码哈希），甚至可以直接以root身份执行任意命令。由于完整PoC验证利用代码已经公开

欧拉

修复方案:

https://www.openeuler.openatom.cn/zh/security/cve/detail/?cveId=CVE-2026-46333&packageName=kernel

临时缓解措施：

sysctl -w kernel.yama.ptrace_scope=2

已经在 openEuler 22.03 LTS 复现成功

poc:

https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn

PS:

此操作不确认产品是否会影响，需要产品看看，否则进行kernel升级

如果大家喜欢此类文章，我会发布其他国产系统修复和环境措施，欢迎大家三连