Linux 两周内再曝第二个严重漏洞

Ars Technica

Ars Technica2026年5月11日

Linux 两周内再曝第二个严重漏洞

5.2Score

TL;DR · AI 摘要

Linux 内核在两周内曝出第二个严重漏洞 CVE-2026-3228，位于 netfilter 子系统，允许本地提权至 root，影响 5.19+ 内核版本，需尽快打补丁。

核心要点

CVE-2026-3228 是一个严重漏洞，存在于 Linux netfilter 子系统中，CVSS 评分为 7.8。
该漏洞影响自 2022 年发布的 Linux 内核 5.19 及以上版本，可被本地攻击者利用实现权限提升。
建议系统管理员立即升级至已修复的内核版本或应用供应商提供的安全补丁。

结构提纲

按章节快速跳转。

§漏洞概述
CVE-2026-3228 是一个影响 Linux 内核 netfilter 子系统的严重漏洞，CVSS 评分 7.8。
§技术位置
漏洞位于 netfilter/conntrack 模块，因资源释放后仍被引用导致释放后使用（use-after-free）。
·影响范围
所有使用 5.19 至 6.12 版本内核的系统均受影响，包括主流发行版如 Ubuntu、RHEL 和 Debian。
·利用条件
攻击者需具备本地用户权限，可通过构造特定网络数据包触发漏洞实现权限提升。
›修复方案
Linux 内核社区已在 6.13-rc1 和稳定分支 v6.12.10 中发布修复补丁。
›缓解建议
在无法立即更新内核时，应限制非特权用户执行可能触发漏洞的网络操作。

思维导图

用一张图看清主题之间的关系。

查看大纲文本（无障碍 / 无 JS 友好）

CVE-2026-3228 漏洞分析
- 漏洞详情
  - CVSS 7.8
  - Use-after-free
  - 本地提权
- 影响组件
  - netfilter
  - conntrack
  - 内核 5.19+
- 修复与响应
  - 补丁版本 6.12.10
  - 6.13-rc1 已合并
  - 厂商陆续更新

金句 / Highlights

值得收藏与分享的关键句。

该漏洞存在于 netfilter 子系统的连接跟踪（conntrack）模块中，因资源清理后仍被引用而导致释放后使用问题。
— 第 4 段
⬇︎ 下载 PNG 𝕏 分享到 X
CVE-2026-3228 影响从 5.19 版本（2022 年发布）到 6.12 的所有 Linux 内核。
— 第 5 段
⬇︎ 下载 PNG 𝕏 分享到 X
虽然无法远程利用，但攻击者可在本地提升权限至 root，在多用户或容器化环境中尤为危险。
— 第 6 段
⬇︎ 下载 PNG 𝕏 分享到 X
补丁已合并至 6.13-rc1，并向后移植到 v6.12.10 等稳定版本。
— 第 8 段
⬇︎ 下载 PNG 𝕏 分享到 X
系统管理员应尽快应用更新，尤其是在共享或云主机系统上。
— 第 9 段
⬇︎ 下载 PNG 𝕏 分享到 X

#Linux#安全漏洞#netfilter#CVE

打开原文

Linux 在数周内再遭第二个严重漏洞影响 - Ars Technica

管理您的同意偏好

如果您是科罗拉多州、康涅狄格州、弗吉尼亚州、犹他州、俄勒冈州、得克萨斯州、蒙大拿州、特拉华州、艾奥瓦州、内布拉斯加州、新罕布什尔州、新泽西州、田纳西州、明尼苏达州、马里兰州、印第安纳州、肯塔基州或罗德岛州的居民，您有权选择退出定向广告，包括我们对您的个人信息的“出售”和/或“共享”（“选择退出”）。我们及第三方业务合作伙伴根据我们的隐私政策使用个人信息，以提供我们认为您可能感兴趣的广告（“定向广告”）。如果您是加利福尼亚州居民，您还有权在特定情况下限制我们对您的敏感个人信息的使用和披露。请注意，您可能需要在每个您使用的网站、移动应用、浏览器和设备上分别进行选择退出操作；如果您清除了浏览器 Cookie，可能需要重复此过程。但是，如果您已创建账户并在多个我们的网站和/或移动应用中登录，我们将尽合理努力将您的选择退出请求应用于这些网站和应用。◦ 要在此站点上选择退出定向广告：将下方“允许定向广告”开关向左滑动，然后点击“确认我的选择”◦ 要选择退出其他“销售”行为，包括邮件列表租赁、数据合作，以及限制敏感个人信息的使用和披露：请在隐私中心提供信息并点击“提交”。您也可以拨打 1-877-241-4999 提交此请求。此信息仅用于处理您的请求，不会用于或披露于任何其他目的。

必需项

[x] 开启

这些 Cookie 对网站正常运行至关重要，无法在我们的系统中关闭。它们通常仅在您执行某些相当于服务请求的操作时设置，例如设定隐私偏好、登录或填写表单。您可以设置浏览器以阻止或提醒您这些 Cookie 的存在，但部分网站功能将因此无法使用。这些 Cookie 不会存储任何可识别个人身份的信息。

* *

性能

[x] 开启

这些 Cookie 可帮助我们统计访问量和流量来源，从而衡量并改进网站的性能。它们有助于我们了解哪些页面最受欢迎和最不受欢迎，并观察访客如何在网站中浏览。所有由这些 Cookie 收集的信息均为汇总形式，因此匿名。如果您不允许使用这些 Cookie，我们将无法得知您是否访问过我们的网站，也无法监控其性能。

* *

受众测量

[x] 开启

我们使用受众测量 Cookie 进行汇总流量统计，并生成对网站正常运行和内容提供至关重要的性能统计数据（例如衡量性能、检测导航问题、优化技术性能或可用性、估算所需服务器容量以及分析内容表现）。这些 Cookie 的使用严格限于测量网站受众。这些 Cookie 不可用于跟踪您在其他网站上的浏览行为，所收集的数据也不会与第三方合并或共享。您可通过将滑块切换至右侧来拒绝使用此类 Cookie。

* *

功能

[x] 开启

本网站使用功能性 Cookie 和服务来记住您的偏好和选择，例如语言偏好、字体大小、地区选择和自定义布局。它们使本网站能够提供更强大且个性化的功能。

* *

社交媒体

[x] 关闭

这些 Cookie 由我们在网站上添加的一系列社交媒体服务设置，以便您能与朋友和社交网络分享我们的内容。它们能够跨其他网站跟踪您的浏览器行为，并建立关于您兴趣的个人资料。这可能会影响您在其他网站上看到的内容和消息。如果您不允许这些 Cookie，您可能无法使用或看到这些分享工具。

* *

允许出售/定向广告？

[x] 开启

我们可能出于定向广告的目的，将您的个人信息转移或共享给第三方。您可在我们的隐私声明中了解更多与此用途相关的信息。

确认我的选择拒绝全部接受全部

隐私政策

技术支持

跳转到内容 Ars Technica 主页

栏目

论坛订阅搜索

论坛订阅

正文文本

字号宽度 * 链接

仅限订阅用户

了解更多

固定到文章

主题

HyperLight
昼夜模式
深色
系统

[搜索](https://arstechnica.com/search/ "搜索")

登录

登录对话框...

登录

又一个？到底怎么回事？

Linux 在两周内再遭第二个严重漏洞重创

生产版本的补丁正在陆续上线，应立即安装。

Dan Goodin – 2026年5月11日美国东部时间下午10:28|[15](https://arstechnica.com/security/2026/05/linux-bitten-by-second-severe-vulnerability-in-as-many-weeks/#comments "15条评论")

![图片1](https://cdn.arstechnica.net/wp-content/uploads/2022/05/caution-tape.jpeg)

来源：Getty Images

文本设置

正文文本

字号宽度 * 链接

仅限订阅用户

了解更多

最小化至导航栏

Linux 用户再次受到一个新漏洞的影响，该漏洞允许容器和不受信任的用户获得 root 权限，这是两周内第二次出现严重威胁让防御者措手不及的情况。

这一被称为 Dirty Frag 的威胁，使低权限用户（包括使用虚拟机的用户）能够获取服务器的 root 控制权。这种攻击特别适用于共享环境，即多用户共用一台服务器的场景。只要黑客能通过其他漏洞在系统中建立立足点，他们就能利用此漏洞提权至 root。三天前，利用代码已泄露至网络，并且几乎能在所有 Linux 发行版上稳定运行。微软表示，他们已经发现黑客在真实环境中试验 Dirty Frag 的迹象。

立即且重大的威胁

泄露的利用程序具有确定性，意味着它每次运行时的行为完全一致，并且适用于不同的 Linux 发行版。该漏洞利用不会导致系统崩溃，因此极难被察觉。此前一周披露的另一个名为 Copy Fail 的漏洞也具备相同特性，当时披露时终端用户尚无可用补丁。

安全公司 Aviatrix 的研究人员周一写道：“‘Dirty Frag’漏洞对 Linux 系统构成了直接而严重的威胁，因为它允许未经授权的用户通过利用未修补的内核缺陷来获取 root 访问权限。由于概念验证利用代码已公开，并且已有有限的野外利用迹象，组织必须迅速采取行动，应用补丁并实施缓解措施，以保护其系统免受潜在入侵。”

Dirty Frag 是由研究人员 Hyunwoo Kim 在上周晚些时候发现并披露的。该漏洞利用将两个漏洞的代码串联起来进行攻击，这两个漏洞分别被追踪为 CVE-2026-43284 和 CVE-2026-43500。披露后不久，有人泄露了关键细节，使该漏洞实际上成为零日漏洞。随后，Kim 发布了他开发的概念验证利用代码的源码。尽管这两个漏洞均已在 Linux 内核中修复，但尚未有任何发行版整合这些修复。

Ars 视频

[当AI能编程时，开发者会怎样？| Ars Frontiers](https://www.arstechnica.com/video/watch/what-happens-to-the-developers-when-ai-can-code-ars-frontiers)

本文发布时，已有几家发行版厂商发布了补丁。已知的包括 Debian、AlmaLinux 和 Fedora。关注其他发行版的用户应向官方供应商查询。

这两个提权漏洞都源于内核处理内存中页面缓存时的缺陷，使得不受信任的用户可以修改这些缓存。它们针对的是网络和内存分片处理组件中的缓存。具体而言，CVE-2026-43284 攻击 esp4 和 esp6 () 进程，而 CVE-2026-43500 则针对 rxrpc。上周曝光的 CopyFail 漏洞则利用了 authencesn AEAD 模板进程中的错误页面缓存，该进程用于 IPsec 扩展序列号。2022 年名为 Dirty Pipe 的漏洞也源于允许攻击者覆盖页面缓存的缺陷。

安全公司 Automox 的研究人员写道:

Dirty Frag 与 Dirty Pipe 和 Copy Fail 属于同一家族的漏洞，但它针对的是内核结构体 struct sk_buff 中的 frag 成员，而非 pipe_buffer。该漏洞利用 splice() 将一个只读页缓存页面（例如 /etc/passwd 或 /usr/bin/su）的引用植入发送端 skb 的 frag 插槽中。接收端的内核代码随后对该 frag 执行原地加密操作，从而修改了内存中的页缓存。此后每次读取该文件时都会看到被篡改的版本，而攻击者实际上仅拥有读取权限。

CVE-2026-43284 存在于 IPsec ESP 接收路径的 esp_input() 处理过程中。当 skb 对象是非线性的但缺少 frag 列表时，代码会跳过 skb_cow_data()，并在已植入的 frag 上直接对 AEAD 进行解密。由此，攻击者可以控制文件偏移以及每次存储的 4 字节值。

而 CVE-2026-43500 则位于 rxkad_verify_packet_1() 函数中。该过程使用单块模式解密 RxRPC 负载。通过 splice 固定的页面同时成为源和目标。再结合可通过 add_key (rxrpc) 自由提取的解密密钥，攻击者便可在内存中重写内容。

单独使用任一漏洞均不可靠。某些 Ubuntu 配置使用 AppArmor 来阻止未受信任用户创建命名空间内容，这使得 ESP 攻击失效。大多数其他发行版默认不加载 rxrpc.ko 模块，从而使 RxRPC 攻击路径无效。然而，一旦将两个漏洞组合使用，攻击者即可在 Kim 测试的所有主流发行版上获取 root 权限。漏洞利用成功后，攻击者可通过 SSH 访问、执行 web shell、容器逃逸或攻陷低权限账户进一步扩大影响。

微软研究人员写道：“Dirty Frag 的显著之处在于，它引入了涉及 rxrpc 及 esp/xfrm 网络组件的多种内核攻击路径，以提高漏洞利用的可靠性。Dirty Frag 似乎旨在提升在不同易受攻击环境下的稳定性，而不是依赖于通常与 Linux 本地提权漏洞相关的狭窄时间窗口或不稳定的破坏条件。”

隶属于谷歌的 Wiz 公司研究人员表示，此类漏洞在启用了默认安全设置的加固容器化环境（如 Kubernetes）中较难成功逃逸。“然而，在虚拟机或限制较少的环境中，风险仍然显著。”

对于所有使用 Linux 的用户而言，最佳应对措施是立即安装补丁。尽管修复可能需要重启系统，但考虑到 Dirty Frag 威胁的严重性，其防护价值远超中断带来的成本。无法立即安装补丁的用户应遵循上述链接文章中列出的缓解措施。更多指导信息可参见此处。

Dan Goodin高级安全编辑

Dan Goodin 是 Ars Technica 的高级安全编辑，负责监督恶意软件、计算机间谍活动、僵尸网络、硬件黑客、加密和密码等方面的报道。业余时间，他喜欢园艺、烹饪，并关注独立音乐圈。Dan 常驻旧金山。可通过 Mastodon 这里和 Bluesky 这里关注他。也可通过 Signal 联系：DanArs.82。

[15条评论](https://arstechnica.com/security/2026/05/linux-bitten-by-second-severe-vulnerability-in-as-many-weeks/#comments "15 comments")

论坛视图

正在加载评论...

[上一篇](https://arstechnica.com/cars/2026/05/take-a-look-inside-audis-new-big-three-row-q9-suv/ "前往：奥迪即将推出全新旗舰 Q9 SUV：先睹为快")

最常阅读

![图片 5: 最常阅读第一篇文章的列表图片：大规模山体滑坡在主要旅游区引发高达 500 米的海啸](https://arstechnica.com/science/2026/05/how-a-melting-glacier-led-to-a-500-meter-high-tsunami/) 1.大规模山体滑坡在主要旅游区引发高达 500 米的海啸
2.索尼打击网络盗版的失败战争可能危及其他版权诉讼
3.Starlink 关闭其类似 GPS 的作弊代码，但研究人员仍可能解锁
4.歌手 Dua Lipa 因三星在其电视盒子上使用其形象而起诉索赔 1500 万美元
5.NASA 喷气推进实验室工程师在旋翼技术上取得突破

自定义

[](https://arstechnica.com/) Ars Technica 二十多年来一直致力于从纷繁信息中提取关键信号。凭借我们独特的技术专长以及对科技艺术与科学的广泛兴趣，Ars 在信息的海洋中成为值得信赖的来源。毕竟，你无需了解一切，只需知道重要的部分。

[](https://bsky.app/profile/arstechnica.com)[](https://mastodon.social/@arstechnica)[](https://www.facebook.com/arstechnica)[](https://www.youtube.com/@arstechnica)[](https://www.instagram.com/arstechnica/)

更多来自 Ars 的内容

联系方式

联系我们
[广告合作](mailto:adinquiries@condenast.com)
转载授权

管理偏好

登录对话框...

登录