【ISMS-漏洞/警訊】Linux 驚爆Dirty Frag致命漏洞,任何帳號都能瞬間變身Root,請追蹤更新!(CVE-2026-43284)
請資安窗口協助轉達教職員,繼上週 Copy Fail 漏洞公開後, 另一個存在多個 Linux 系統的本機提權漏洞 Dirty Frag 本週浮出檯面, 影響範圍已在多個廠商初步調查與驗證報告中揭露。
4月底揭露的 Linux 核心本機提權漏洞 Copy Fail(CVE-2026-31431) 震撼全球之餘,本週(5月8日)再度爆出另一批漏洞 Dirty Frag。
同時,研究員(_SiCk)亦在 GitHub 公開概念驗證程式 Copy Fail 2: Electric Boogaloo, 顯示漏洞已具備實際利用可能性。
微軟指出,漏洞存在於 Linux 核心的網路與記憶體碎片處理機制, 涉及兩大子系統:
🔹 ESP(Encapsulating Security Payload)
🔹 RxRPC 通訊機制
其中 ESP 子系統漏洞為: CVE-2026-43284, CVSS 評分 7.8(高風險),已釋出修補。
而 RxRPC 漏洞為: CVE-2026-43500, 目前尚無官方修補資訊。
影響範圍可能涵蓋: Ubuntu、RHEL、CentOS Stream、AlmaLinux、 Fedora、openSUSE,以及 OpenShift 容器平台。
資安公司 Wiz 指出:
🔹 ESP 子系統:影響 2017 年至今所有核心版本
🔹 RxRPC 子系統:影響 2023 年至今所有核心版本
資料來源:
iThome:
https://www.ithome.com.tw/news/175672
NVD 官方資料:
https://nvd.nist.gov/vuln/detail/CVE-2026-43284
Red Hat 公告:
https://access.redhat.com/security/cve/cve-2026-43284
The Hacker News:
https://thehackernews.com/2026/05/linux-kernel-dirty-frag-lpe-exploit.html
Help Net Security:
https://www.helpnetsecurity.com/2026/05/08/dirty-frag-linux-vulnerability-cve-2026-43284-cve-2026-43500/
