El 8 de maig de 2026 el Centre Canadenc de Ciberseguretat va publicar l’alerta AL26-011 sobre dues vulnerabilitats del kernel Linux que, juntes, deixen que un usuari local sense privilegis es converteixi en root. El conjunt es coneix com a Dirty Frag i combina CVE-2026-43284 amb CVE-2026-43500.
Què són les dues fallades
CVE-2026-43284 és una condició write-what-where (CWE-123) als mòduls de la càrrega de seguretat encapsulada, esp4 i esp6. Una primitiva write-what-where vol dir que l’atacant controla tant on escriu a la memòria del kernel com què hi escriu, cosa que obre la porta a corrompre estructures internes i, a partir d’aquí, executar codi arbitrari en context del kernel.
CVE-2026-43500 viu al subsistema RxRPC, el protocol que el kernel fa servir per a crides a procediment remot sobre UDP (l’utilitza AFS, entre d’altres). Tot sol ja permet a un atacant local escalar privilegis.
El nom Dirty Frag apunta al maneig de fragments, on neixen tots dos problemes. La gràcia de l’atac no és cada fallada per separat sinó encadenar-les: RxRPC dona el peu per a l’escalada i la primitiva d’escriptura a ESP remata la feina fins a arribar a root.
A qui afecta
Qualsevol sistema Linux amb els mòduls esp4, esp6 o rxrpc carregats. ESP forma part d’IPsec, així que màquines que terminen túnels VPN o qualsevol kernel que carregui aquests mòduls per defecte entren al grup de risc. RxRPC se sol carregar de manera automàtica quan algun component el demana, cosa que amplia la superfície més enllà de qui fa servir AFS expressament.
L’accés que cal és local. Això abaixa el llistó en servidors multiusuari, nodes de Kubernetes, runners de CI/CD i qualsevol entorn on codi no fiable pugui executar-se amb un compte normal. En aquests escenaris la barrera entre “usuari sense privilegis” i “control total de la màquina” és justament el que Dirty Frag trenca.
Gravetat
El Centre Canadenc va classificar el conjunt com d’alt risc i va avisar d’una cosa poc habitual: ja existien proves de concepte funcionals i públiques a la data de l’alerta. Tenir PoC en circulació canvia el càlcul, perquè escurça el temps entre la divulgació i l’explotació real. A això s’hi suma que el 8 de maig no hi havia un pedaç que cobrís totes les branques estables del kernel alhora.
Mitigació
Mentre arriben els pedaços oficials de la teva distribució, el consell de l’avís passa per reduir la superfície. Si no fas servir IPsec ni AFS, desactiva els mòduls vulnerables amb la configuració de modprobe, per exemple afegint línies blacklist per a esp4, esp6 i rxrpc. Convé comprovar abans què hi ha carregat:
uname -r
lsmod | grep -E 'esp4|esp6|rxrpc'La resta de mesures són les de sempre quan el vector és local: limitar qui té compte a la màquina, restringir privilegis administratius i vigilar els logs per activitat anòmala. Consulta la teva distribució per a la versió exacta que corregeix cada CVE, perquè el calendari de pedaços va variar entre branques. Si gestiones la línia principal del kernel Linux, revisa la versió instal·lada i aplica l’actualització tan bon punt estigui disponible.
Aquest patró d’escalada local encadenant dues fallades del kernel no és nou. El vam veure fa poc amb Copy Fail (CVE-2026-31431) a algif_aead i amb CrackArmor a AppArmor: el denominador comú és que n’hi ha prou amb un compte sense privilegis per acabar com a root.
Font
- Centre Canadenc de Ciberseguretat, alerta AL26-011: https://www.cyber.gc.ca/en/alerts-advisories/al26-011-vulnerabilities-affecting-linux-cve-2026-43284-cve-2026-43500
- NVD, CVE-2026-43284: https://nvd.nist.gov/vuln/detail/CVE-2026-43284