Cómo proteger tu servidor Linux frente a Fragnesia (CVE-2026-46300)

    ¿Qué es Fragnesia?

    Fragnesia (CVE-2026-46300) es una vulnerabilidad de escalación local de privilegios en el kernel de Linux con puntuación CVSS 7.8. Fue divulgada el 13 de mayo de 2026 y nació como consecuencia de un parche incompleto de Dirty Frag.

    El fallo está en la función skb_try_coalesce() del kernel: al transferir fragmentos paginados entre buffers, no propaga el marcador SKBFL_SHARED_FRAG. El kernel pierde la noción de que un fragmento depende de un respaldo externo (páginas de la caché de archivos), lo que permite que un atacante encadene la operación con la ruta de recepción de IPsec ESP-in-TCP para realizar un XOR de un keystream elegido sobre archivos solo-lectura como /usr/bin/su y obtener root.

    Existe prueba de concepto pública desarrollada por William Bowling (Zellic) y el equipo V12. No se ha observado explotación masiva, pero el riesgo es elevado por la facilidad de explotación.

    ¿Te afecta?

    Sí, si ejecutas cualquiera de estos sistemas sin parchear:

    • AlmaLinux 8, 9 y 10 (incluida la rama Kitten 10)
    • CloudLinux 8, 9 y 10
    • Rocky Linux, RHEL, Ubuntu, Debian y otras distribuciones que utilicen kernels Linux modernos con los módulos esp4/esp6 disponibles

    En AlmaLinux 9 y 10 el módulo rxrpc (vía kernel-modules-partner) también está implicado.

    Cómo comprobar si tu servidor está vulnerable

    uname -r

    Compara la salida con las versiones parcheadas a continuación.

    Cómo mitigar

    Opción Ideal para ¿Reinicio? ¿Duradero?
    Instalar kernel parcheado del vendor Todos, solución a largo plazo
    Livepatch de KernelCare Servidores con KernelCare No
    Blacklist de módulos esp4/esp6/rxrpc Mientras esperas el parche No Temporal

    Opción A: kernel parcheado del vendor

    Versiones mínimas con la corrección:

    • AlmaLinux / CloudLinux / Rocky 8: kernel-4.18.0-553.124.3.el8_10
    • AlmaLinux / CloudLinux / Rocky 9: kernel-5.14.0-611.54.5.el9_7
    • AlmaLinux / CloudLinux / Rocky 10: kernel-6.12.0-124.56.3.el10_1
    • Kitten 10: kernel-6.12.0-227.el10

    Si el kernel parcheado aún no está en el canal estable, instálalo desde el canal de pruebas (ejemplo para AlmaLinux):

    dnf -y install almalinux-release-testing
dnf -y --enablerepo=almalinux-testing upgrade 'kernel*'
reboot

    Opción B: livepatch de KernelCare

    kcarectl --update
kcarectl --patch-info | grep CVE-2026-46300

    No requiere reinicio.

    Opción C: blacklist de módulos (workaround temporal)

    Desactiva los módulos vulnerables. Rompe IPsec ESP y RxRPC, así que úsalo solo en servidores que no dependen de esos servicios:

    sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf"
rmmod esp4 esp6 rxrpc 2>/dev/null; true

    Tras aplicar el blacklist, vacía la caché de páginas:

    echo 3 > /proc/sys/vm/drop_caches

    Cuando instales el kernel parcheado, elimina el blacklist:

    rm /etc/modprobe.d/fragnesia.conf

    Después de mitigar

    1. Confirma el kernel en ejecución con uname -r.
    2. Verifica el paquete instalado con rpm -q kernel.
    3. Si usas KernelCare, confirma el livepatch con kcarectl --patch-info | grep CVE-2026-46300.
    4. Si aplicaste tanto el parche de Dirty Frag como el de Fragnesia con el workaround de blacklist, recuerda eliminar ambos archivos /etc/modprobe.d/dirtyfrag.conf y /etc/modprobe.d/fragnesia.conf.

    ¿Necesitas ayuda?

    Abre un ticket en soporte.telecu.cloud y menciona la referencia: Fragnesia (CVE-2026-46300).

    Fuentes

    Etiquetas
    cve-2026-46300 fragnesia linux-kernel security privilege-escalation
    publicado