¿Qué es Dirty Frag?
Dirty Frag es una cadena de dos vulnerabilidades en el kernel de Linux que permiten escalación local de privilegios:
-
CVE-2026-43284: escritura en la caché de páginas a través del módulo IPsec ESP (
esp4/esp6). - CVE-2026-43500: escritura en la caché de páginas a través del módulo RxRPC.
Fueron divulgadas el 7 de mayo de 2026. Cuando la ruta de recepción descifra sobre buffers paginados que el kernel no posee de forma privada (por ejemplo páginas que llegan al socket vía splice(2) o sendfile(2)), un proceso sin privilegios puede retener referencias al texto plano resultante y modificar archivos solo-lectura del sistema. Resultado: root desde una cuenta sin privilegios mediante un único comando.
Está siendo explotada activamente y existe prueba de concepto pública. CVE-2026-43284 está en upstream desde 2017; CVE-2026-43500 desde 2023.
¿Te afecta?
Sí, si ejecutas cualquier servidor Linux moderno sin parchear:
- AlmaLinux 8, 9 y 10
- CloudLinux 7h, 8, 9 y 10
- Rocky Linux, RHEL, Ubuntu, Debian, SUSE
No afectado: CloudLinux 7.
Se aplica a servidores físicos, máquinas virtuales y hosts de contenedores. La vulnerabilidad está en el kernel, por lo que los contenedores heredan la del host.
Cómo comprobar si tu servidor está vulnerable
Verifica la versión del kernel en ejecución:
uname -rCompárala con las versiones parcheadas de la sección siguiente. Si tu kernel es inferior dentro de la misma rama, estás vulnerable.
Cómo mitigar
| Opción | Ideal para | ¿Reinicio? | ¿Duradero? |
|---|---|---|---|
| Instalar kernel parcheado del vendor | Todos, solución a largo plazo | Sí | Sí |
| Livepatch de KernelCare | Servidores con KernelCare | No | Sí |
| Blacklist de módulos esp4/esp6/rxrpc | Mientras esperas el parche | No | Temporal |
Opción A: kernel parcheado del vendor
Versiones mínimas con la corrección:
- AlmaLinux / CloudLinux / Rocky 8:
kernel-4.18.0-553.123.2.el8 - AlmaLinux / CloudLinux / Rocky 9:
kernel-5.14.0-611.54.3.el9_7 - AlmaLinux / CloudLinux / Rocky 10:
kernel-6.12.0-124.55.2.el10_1 - CloudLinux 7h:
kernel-4.18.0-553.123.2.lve.el7h - Debian / Ubuntu: revisa el changelog del paquete con
apt changelog linux-image-$(uname -r) | grep -E 'CVE-2026-43284|CVE-2026-43500'.
Aplica las actualizaciones del kernel y reinicia:
dnf -y update 'kernel*'
rebootOpción B: livepatch de KernelCare
kcarectl --update
kcarectl --info | grep kpatch-build-timeCualquier nivel de parche fechado el 8 de mayo de 2026 o posterior contiene la corrección. No requiere reinicio.
Opción C: blacklist de módulos (workaround temporal)
Desactiva los módulos vulnerables hasta poder aplicar el parche. Esto rompe IPsec ESP y clientes AFS, así que úsalo solo en servidores que no terminan ni transitan túneles IPsec/strongSwan/Libreswan ni dependen de RxRPC:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"
rmmod esp4 esp6 rxrpc 2>/dev/null; trueTras aplicar el blacklist, vacía la caché de páginas para descartar binarios potencialmente alterados desde memoria:
echo 3 > /proc/sys/vm/drop_cachesCuando instales el kernel parcheado, elimina el blacklist:
rm /etc/modprobe.d/dirtyfrag.confDespués de mitigar
- Confirma el kernel en ejecución con
uname -ry compáralo con las versiones parcheadas. - Si usaste KernelCare, verifica el livepatch:
kcarectl --patch-info | grep CVE-2026-43284 - Audita
/var/log/secure,auth.logy el historial de comandos de cuentas no privilegiadas en busca de actividad sospechosa. - Si detectas señales de compromiso a nivel root, rota credenciales (root, MySQL, claves SSH, tokens API) y considera reinstalar el sistema.
¿Necesitas ayuda?
Abre un ticket en soporte.telecu.cloud y menciona la referencia: Dirty Frag (CVE-2026-43284, CVE-2026-43500).