Linuxカーネルに影響を与える、未修正の新たなローカル権限昇格（LPE）の脆弱性に関する詳細が明らかになりました。 **Dirty Frag**と名付けられたこの脆弱性は、最近公開されたLinuxカーネルに影響を与えるLPEの脆弱性である**Copy Fail**（CVE-2026-31431、CVSSスコア：7.8）の後継と[説明されています](https://www.openwall.com/lists/oss-security/2026/05/07/8)。Copy Failは現在、活発に悪用されています。この脆弱性は2026年4月30日にLinuxカーネルのメンテナーに報告されました。 セキュリティ研究者のHyunwoo Kim氏（@v4bel）は、その解説で「Dirty Fragは、xfrm-ESP Page-Cache Writeの脆弱性とRxRPC Page-Cache Writeの脆弱性を連鎖させることで、ほとんどのLinuxディストリビューションでroot権限を取得する脆弱性（クラス）です」と述べています。 「Dirty Fragは、[Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html)や[Copy Fail](https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html)が属するバグクラスを拡張した事例です。タイミングウィンドウに依存しない決定論的なロジックバグであるため、競合状態は不要で、エクスプロイトが失敗してもカーネルパニックを起こさず、成功率は非常に高いです。」 この脆弱性には現在CVE識別子が割り当てられていません。これは、xfrm-ESP Page-Cache Writeの脆弱性に関する詳細情報とエクスプロイトが、無関係な第三者によって公開された後に、エンバーゴが破られたためとされています。 ### 影響 この脆弱性が悪用された場合、権限のないローカルユーザーが、Ubuntu 24.04.4、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10、Fedora 44を含むほとんどのLinuxディストリビューションで、root権限に昇格できる可能性があります。 研究者によると、xfrm-ESP Page-Cache Writeの脆弱性は2017年1月に[ソースコードのコミット](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3)で導入され、RxRPC Page-Cache Writeの脆弱性は2023年6月に[導入されました](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a)。興味深いことに、2017年1月17日の同じコミットが、様々なLinuxディストリビューションに影響を与えた別のバッファオーバーフロー（CVE-2022-27666、CVSSスコア：7.8）の根本原因でした。 IPSec（xfrm）サブシステムに根差したxfrm-ESP Page-Cache Writeは、Copy Failと同様に攻撃者に4バイトの書き込みプリミティブを提供し、カーネルのページキャッシュの一部を上書きします。 しかし、エクスプロイトには、ユーザーが名前空間を作成する必要があり、これは**Ubuntu**によって[AppArmor](https://ubuntu.com/server/docs/how-to/security/apparmor)によってブロックされています。このような環境では、xfrm-ESP Page-Cache Writeをトリガーできません。そこで、2番目のエクスプロイトであるRxRPC Page-Cache Writeが登場します。 「RxRPC Page-Cache Writeは名前空間を作成する権限を必要としませんが、rxrpc.koモジュール自体はほとんどのディストリビューションに含まれていません」とKim氏は説明しています。「例えば、RHEL 10.1のデフォルトビルドではrxrpc.koは出荷されていません。しかし、Ubuntuではrxrpc.koモジュールがデフォルトでロードされています。」 「この2つのバリアントを連鎖させることで、それぞれの弱点を補い合います。ユーザー名前空間の作成が許可されている環境では、ESPエクスプロイトが最初に実行されます。逆に、ユーザー名前空間の作成はブロックされているがrxrpc.koがビルドされているUbuntuでは、RxRPCエクスプロイトが機能します。」 **CloudLinx**は、独自の[アドバイザリ](https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update)で、この脆弱性は「ESP-in-UDP MSG_SPLICE_PAGES no-COW fast path」に存在し、「XFRMユーザーネットリンクインターフェイスを介して到達可能」であると述べています。 「このバグは、esp4、esp6、およびrxrpcのインプレース復号化の高速パスに存在します。ソケットバッファがカーネルによって排他的に所有されていないページキャッシュバックされたフラグメント（例：splice(2)/sendfile(2)/MSG_SPLICE_PAGES経由でアタッチされたパイプページ）を運ぶ場合、受信パスはその外部バックページ上で直接復号化を行い、権限のないプロセスがまだ参照を保持しているプレーンテキストを公開または破損させます」と**AlmaLinux**は[述べています](https://almalinux.org/blog/2026-05-07-dirty-frag/)。 他のLinuxディストリビューションからも同様のアドバイザリがリリースされています。 * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/) * Debian ([xfrm-ESP Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43284), [RxRPC Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43500)) * [Red Hat Enterprise Linux](https://access.redhat.com/security/vulnerabilities/RHSB-2026-003) * [Rocky Linux](https://forums.rockylinux.org/t/dirty-frag-vulnerability-reported-for-linux-kernel-cve-2026-43284-cve-2026-43500/20430) * [SUSE](https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/) 動作する概念実証（PoC）がリリースされ、単一コマンドでroot権限を取得できるようになったことで、緊急性が増しています。パッチが利用可能になるまで、esp4、esp6、およびrxrpcモジュールをブロックリストに追加して、ロードできないようにすることが推奨されます。 bash sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" ここで言及する価値があるのは、Dirty FragはCopy Failといくつかの重複があるにもかかわらず、Linuxカーネルのalgif_aeadモジュールが有効であるかどうかにかかわらず悪用できることです。 「Dirty Fragは、algif_aeadモジュールが利用可能かどうかに関わらずトリガーできることに注意してください」と研究者は述べています。「つまり、公開されているCopy Failの緩和策（algif_aeadブラックリスト）が適用されているシステムでも、LinuxはDirty Fragに対して脆弱なままです。」 ### アップデート xfrm-ESP Page-Cache Writeの脆弱性には[CVE-2026-43284](https://nvd.nist.gov/vuln/detail/CVE-2026-43284)が割り当てられ、メインラインで[f4c50a4034e6](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f4c50a4034e6)でパッチが適用されました。RxRPC Page-Cache Writeの脆弱性にはCVE-2026-43500という識別子が割り当てられましたが、執筆時点ではパッチは利用できません。 「コンテナワークロードを実行しないホストでは、この脆弱性によりローカルユーザーがrootユーザーに権限を昇格させることができます」と**Ubuntu**は[述べています](https://ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available)。「任意のサードパーティワークロードを実行する可能性のあるコンテナデプロイメントでは、この脆弱性はホスト上のローカル権限昇格に加えて、コンテナエスケープシナリオを促進する可能性があります。」 アドバイザリで、**Google**傘下の**Wiz**はDirty Fragを、Linuxカーネルにおける2つのページキャッシュ書き込みプリミティブを組み合わせた脆弱性チェーンとして説明しました。1つはxfrm-ESP（IPsec）サブシステムに、もう1つはRxRPCにあります。 「どちらの脆弱性も、カーネルによって排他的に所有されていないページキャッシュバックされたメモリの変更を可能にし、機密ファイルの破損、最終的には権限昇格につながります」と研究者のMerav Bar氏とRami McCarthy氏は[述べています](https://www.wiz.io/blog/dirty-frag-linux-kernel-local-privilege-escalation-via-esp-and-rxrpc)。「競合状態ベースのエクスプロイトとは異なり、このバグクラスは決定論的で非常に信頼性が高く、Copy FailやDirty Pipeのような以前の脆弱性に似ています。」 「このエクスプロイトを実行するには、攻撃者は2つのものが必要です。特定の脆弱なカーネルインターフェイスへのアクセスと、ページバックされたバッファを操作する能力（例：splice()-関連パス経由）。しかし、大きな障害があります。エクスプロイトは通常、CAP_NET_ADMINのような高レベルのシステム権限を必要とします。これは、ハードニングされたコンテナ環境（例：デフォルトのseccompプロファイルを持つKubernetes）では、エクスプロイトの可能性が低いことを意味します。」 ### 限定的なイン・ザ・ワイルドでのエクスプロイト観測 **Microsoft**は、現在、「su」（別名Substitute User）コマンドを使用して権限昇格を達成するための限定的なイン・ザ・ワイルドでのアクティビティを観測していると述べており、「これは『Dirty Frag』または『[Copy Fail](https://kb.cert.org/vuls/id/260001)』に関連する技術の兆候である可能性がある」と指摘しています。 「このキャンペーンは、外部接続がSSHアクセスを取得し、インタラクティブシェルを起動し、その後、権限昇格を即座にトリガーするELFバイナリ（./update）のステージングと実行が行われるという、逐次的な攻撃タイムラインを示しています」と**Microsoft**は[付け加えています](https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/)。 権限昇格に成功した後、不明な脅威アクターはGLPI LDAP認証ファイルを変更し、GLPIディレクトリとシステム構成の偵察を行い、エクスプロイトアーティファクトを検査していることが判明しています。このステップの後、攻撃者は機密データにアクセスし、複数のPHPセッションファイルとやり取りします。これにはdelが含まれます。