El 7 de maig de 2026 es van fer públiques dues vulnerabilitats d’escalada local de privilegis al kernel Linux que Canonical agrupa sota el nom Dirty Frag. Totes dues permeten que un usuari sense privilegis aconsegueixi root a la màquina, així que no són cap minúcia. Si administres servidors o equips amb Ubuntu, val la pena revisar-les avui mateix.
La primera és CVE-2026-43284, amb una puntuació CVSS 3.1 de 8.8 (alta). Afecta els mòduls ESP (Encapsulating Security Protocol), els que es fan servir en muntatges d’IPsec com StrongSwan. La segona és CVE-2026-43500, amb CVSS 7.8 (alta), i toca els mòduls RxRPC, el protocol que dona suport a l’Andrew File System (AFS) per a operacions de fitxers distribuïts.
Totes dues comparteixen el mateix patró d’explotació local: algú que ja té un compte al sistema, encara que sigui sense privilegis, pot aprofitar l’error en aquests mòduls i acabar executant codi com a root. No cal accés físic ni cadenes d’exploits remots complicades.
A qui afecta
Canonical ha publicat pedaços per a tot el ventall de versions amb suport:
- Bionic Beaver (18.04 LTS) — kernels Linux 4.15 i 5.4 HWE
- Focal Fossa (20.04 LTS) — kernels 5.4 i 5.15 HWE
- Jammy Jellyfish (22.04 LTS) — kernels 5.15 i 6.8 HWE
- Noble Numbat (24.04 LTS) — kernels 6.8 i 6.17 HWE
- Questing Quokka (25.10) i Resolute Raccoon (26.04 LTS)
Trusty Tahr i Xenial Xerus queden marcades com a no afectades. Si encara fas servir una d’aquestes, tens prou motius per plantejar-te l’actualització de totes maneres.
Què fer
La via directa és aplicar les actualitzacions de seguretat del kernel:
sudo apt update && sudo apt upgradeCom que es tracta del kernel, després cal reiniciar perquè el pedaç tingui efecte:
sudo rebootSi per algun motiu no pots aplicar el pedaç de seguida, posem un servidor que no pots reiniciar ara, Canonical proposa bloquejar manualment els mòduls vulnerables mentrestant. Es fa creant un fitxer dins de /etc/modprobe.d/:
echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.confDesprés regeneres l’initramfs per a tots els kernels instal·lats:
sudo update-initramfs -u -k allI descarregues els mòduls que ja estiguessin actius a la memòria:
sudo rmmod esp4 esp6 rxrpc 2>/dev/nullPer comprovar si encara estan carregats:
grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Affected modules are loaded" || echo "Affected modules are NOT loaded"Tingues present que bloquejar esp4 i esp6 trenca IPsec, i descarregar rxrpc deixa AFS sense servei. És una mesura temporal: si depens d’aquests serveis, la solució de debò és aplicar el pedaç i reiniciar.
Qui vulgui repassar la resta de mitigacions de kernel d’aquesta tanda també pot mirar Fragnesia (CVE-2026-46300), que comparteix part del problema als mòduls ESP. Tota la informació sobre la distribució és a la fitxa d’Ubuntu.
Font
Dirty Frag Linux kernel local privilege escalation vulnerability mitigations, publicat al blog de Canonical.