Güvenlik araştırmacısı Hyunwoo Kim (V4bel), Linux çekirdeğinde yerel kullanıcıların tek hamlede root yetkisi almasına yol açan “Dirty Frag” açığını duyurdu. Açık, dağıtım geliştiricileriyle yürütülen kısa süreli gizlilik süreci bir üçüncü tarafça bozulunca kamuya açıklandı; PoC kodu ortada ve çoğu büyük dağıtım etkileniyor. Şu an için kalıcı çözüm yerine yalnızca geçici önlemler öneriliyor.
Dirty Frag, çekirdekteki iki kusurun zincirlenmesiyle çalışıyor: IPsec’i etkileyen xfrm‑ESP “Page‑Cache Write” (CVE-2026-43284) ve AFS için kullanılan RxRPC’deki “Page‑Cache Write” (CVE-2026-43500). Bu ikili birlikte kullanıldığında koşu penceresine dayanmayan, deterministik bir yükseltme sağlıyor ve denemeler başarısız olsa bile sistem paniklemiyor. xfrm‑ESP tarafındaki hata 2017’ye, RxRPC tarafı ise 2023’e uzanan değişikliklerden kaynaklanıyor.
Durum hızla değişiyor: xfrm‑ESP için ana çekirdekte düzeltme mevcut; RxRPC tarafı içinse düzeltme hâlâ bekleniyor. Dağıtımlar güncellemeleri hazırlıyor. Microsoft Defender ekibi 11 Mayıs itibarıyla sınırlı sayıda “vahşi ortam” faaliyeti gözlemlediğini, bunun Dirty Frag ya da kısa süre önce gündeme gelen Copy Fail ile ilişkili olabileceğini belirtiyor. Red Hat de iki CVE’yi doğrulayıp etki ve geçici önlemleri özetledi.
Açık uzaktan değil, yerel erişim gerektiriyor; ancak çoklu kiracılı sunucular, konteyner barındıran ana makineler, paylaşımlı hosting ve CI/CD runner’lar gibi ortamlarda etkisi büyük. Saldırı, korumalı dosyalara doğrudan yazmak yerine sayfa önbelleği üzerinden değişiklik yaptığı için klasik bütünlük kontrollerinin gözünden kaçabiliyor; bir webshell sonrası hızla tam yetkiye sıçrama mümkün.
Kimler etkileniyor, ne yapmalı?
- Ubuntu, Red Hat Enterprise Linux, Debian, Fedora, openSUSE Tumbleweed, Arch Linux, AlmaLinux, CentOS Stream, Amazon Linux ve daha birçok dağıtım etkilendi. Çoğu kullanıcı için risk söz konusu.
- Geçici önlem: esp4, esp6 ve rxrpc modüllerini kara listeye almak ve yüklüyse boşaltmak. Bu adım IPsec VPN’leri ve AFS’i devre dışı bırakabilir; ortamınıza etkisini değerlendirin.
- IPsec’i kapatamayanlar için: “unprivileged user namespaces” özelliğini devre dışı bırakmak xfrm‑ESP varyantını engelleyebilir; ancak RxRPC tarafı bu şekilde kapanmaz. Düzeltme yayınlandığında çekirdeği güncelleyip sistemi yeniden başlatın.
- Sunucularda SSH erişimini daraltın, yetkisiz ikili yürütmelere ve sayfa önbelleği üzerinden yapılan olağandışı yazma girişimlerine karşı izleme kurallarını güçlendirin. Elastic ve benzeri sağlayıcıların yayımladığı tespit kurallarını takip edin.
- Copy Fail (CVE-2026-31431) hâlâ etkiliyse, onu da aynı bakım penceresinde ele alın. İki açığın azaltma adımları kısmen örtüşüyor ve kısa sürede istismar raporları görüldü.
Özetle: Dirty Frag, Linux ekosisteminde 2017’den bu yana süren bir zafiyet sınıfının yeni halkası. Kalıcı yamalar yayına girene kadar en güvenli yaklaşım, etkilenen modülleri ihtiyacınıza göre devre dışı bırakmak, kullanıcı ad alanlarını kısıtlamak, erişimi minimize etmek ve dağıtımınızın güvenlik duyurularını yakından izlemek.
Kaynak: www.techspot.com