Στον πυρήνα Linux Μια ακόμη ευπάθεια κλιμάκωσης τοπικών δικαιωμάτων αποκαλύφθηκε, με την ονομασία Φραγκνησία και αναγνωριστικό CVE-2026-46300Το πρόβλημα ανήκει στην ίδια κατηγορία επιθέσεων προσωρινής αποθήκευσης σελίδων με τις πρόσφατα συζητημένες επιθέσεις Copy Fail και Dirty Frag, αλλά δεν αποτελεί αναδημοσίευση ενός παλιού σφάλματος: είναι ένα ξεχωριστό ελάττωμα στον κώδικα. XFRM ESP-σε-TCP.
Η ευπάθεια ανακαλύφθηκε από έναν ερευνητή Γουίλιαμ Μπόουλινγκ από την ομάδα Ασφάλεια V12Σύμφωνα με τη δημοσιευμένη περιγραφή, το Fragnesia επιτρέπει σε έναν μη προνομιούχο τοπικό χρήστη να τροποποιήσει το περιεχόμενο των αρχείων μόνο για ανάγνωση στην προσωρινή μνήμη σελίδας, εκτελώντας έτσι κώδικα με δικαιώματα root. Σε αντίθεση με πολλά παλαιότερα exploits LPE, η επίθεση δεν απαιτεί συνθήκη κούρσας και περιγράφεται από τους ερευνητές ως ντετερμινιστική.
Τεχνικά, το πρόβλημα πηγάζει από το γεγονός ότι ο πυρήνας χάνει την έννοια ότι ένα τμήμα δεδομένων είναι "κοινόχρηστο" και συσχετίζεται με μια εξωτερική σελίδα μνήμης, συμπεριλαμβανομένης της προσωρινής μνήμης σελίδας, κατά τη συγχώνευση buffer δικτύου. Η προτεινόμενη ενημέρωση κώδικα περιγράφει αυτό ως σφάλμα στο skb_try_coalesce(): κατά τη μεταφορά σελιδοποιημένων τμημάτων από ένα sk_buff σε ένα άλλο, η σημαία SKBFL_SHARED_FRAG δεν διατηρήθηκε. Ως αποτέλεσμα, ο μεταγενέστερος κώδικας ESP θα μπορούσε εσφαλμένα να θεωρήσει το buffer ασφαλές για τροποποίηση.
Το πρακτικό αποτέλεσμα είναι ότι τα δεδομένα που είχαν προηγουμένως τοποθετηθεί στην ουρά από ένα αρχείο στην ουρά TCP μπορούσαν να υποστούν επεξεργασία από τον πυρήνα ως κρυπτογραφημένο κείμενο ESP μετά την αλλαγή της υποδοχής σε λειτουργία espintcp. Κατά την αποκρυπτογράφηση AES-GCM, τα bytes τροποποιήθηκαν απευθείας στην προσωρινή μνήμη σελίδας που σχετίζεται με το αρχείο. Αυτό δεν αλλάζει το αρχείο στον δίσκο, αλλά αλλάζει την αναπαράστασή του στη μνήμη πριν η σελίδα αφαιρεθεί από την προσωρινή μνήμη.
Η δημοσιευμένη επίδειξη επίθεσης στόχευε το /usr/bin/su: το exploit τροποποίησε τα πρώτα byte ενός δυαδικού αρχείου στην προσωρινή μνήμη της σελίδας και στη συνέχεια εκτέλεσε το τροποποιημένο αντίγραφο στη μνήμη, αποκτώντας ένα κέλυφος με δικαιώματα root. Το αρχικό αρχείο στον δίσκο παρέμεινε αμετάβλητο, καθιστώντας το πρόβλημα ιδιαίτερα δύσκολο στη διάγνωση: τα ίχνη της εκμετάλλευσης μπορούν να εξαφανιστούν μετά την εκκαθάριση της προσωρινής μνήμης της σελίδας ή την επανεκκίνηση.
Το Fragnesia εμφανίστηκε λιγότερο από μία εβδομάδα μετά το Dirty Frag. Το V12 τονίζει ότι πρόκειται για ξεχωριστό σφάλμα στην ίδια επιφάνεια επίθεσης—ESP/XFRM—και όχι για μετονομασία μιας ήδη διορθωμένης ευπάθειας. Το Phoronix σημειώνει επίσης ότι μια απόδειξη της ιδέας ήταν διαθέσιμη κατά τη στιγμή της δημοσίευσης και η διόρθωση ήταν μια μικρή ενημέρωση κώδικα στο net/core/skbuff.c που δεν είχε ακόμη προωθηθεί αμέσως στους κύριους κλάδους του πυρήνα.
Κανονικά οικειοποιημένο CVE-2026-46300 υψηλή προτεραιότητα για Ubuntu, αναφέροντας τον λόγο ως «ασήμαντη κλιμάκωση τοπικών προνομίων». Στη σελίδα Ubuntu Η ενημέρωση ασφαλείας για τους επηρεαζόμενους πυρήνες αναφέρθηκε ως "Απαιτείται αξιολόγηση" κατά την ενημέρωση της 13ης Μαΐου και η σημείωση ανέφερε συγκεκριμένα ότι το πρόβλημα εντοπίζεται επίσης στη μονάδα ESP του πυρήνα και μπορεί να μετριαστεί προσωρινά με τον ίδιο τρόπο όπως με το Dirty Frag.
Debian Παρακολούθηση ασφαλείας Κατά τη στιγμή της αξιολόγησης, οι πυρήνες στους κλάδους bullseye, bookworm, trixie, forky και sid είχαν επισημανθεί ως ευάλωτοι. Το πακέτο linux στην ασταθή έκδοση δεν είχε ακόμη λάβει μια διορθωμένη έκδοση.
Η προσωρινή προστασία παραμένει η ίδια όπως και για το Dirty Frag: απενεργοποίηση φόρτωσης ενότητας esp4, esp6 και rxrpc εάν δεν απαιτούνται από το σύστημα. Αυτό μπορεί να διαταράξει τις σήραγγες IPsec σε κόμβους που χρησιμοποιούν kernel ESP, strongSwan, Libreswan ή παρόμοιες διαμορφώσεις, επομένως αυτό το μέτρο θα πρέπει να εφαρμόζεται σε πύλες VPN μόνο μετά από προσεκτική εξέταση.
Παράδειγμα προσωρινής επιείκειας για τους διαχειριστές:
sudo sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf" sudo rmmod esp4 esp6 rxrpc 2>/dev/null || αληθής
Εάν υπάρχει υποψία ότι το σύστημα μπορεί να έχει ήδη δεχθεί επίθεση, ο αποκλεισμός των ενοτήτων από μόνος του δεν αρκεί: δεδομένου ότι η δημόσια επίδειξη τροποποιεί το εκτελέσιμο αρχείο στην προσωρινή μνήμη σελίδας, οι διαχειριστές συνιστούν την εκκαθάριση της προσωρινής μνήμης σελίδας ή την επανεκκίνηση του συστήματος μετά την εφαρμογή μέτρων ασφαλείας.Linux δηλώνει ρητά ότι μετά την εκμετάλλευση, το /usr/bin/su μπορεί να παραμείνει τροποποιημένο στη μνήμη μέχρι να διαγραφούν οι αντίστοιχες σελίδες.
Για να καταργήσετε έναν προσωρινό κανόνα μετά την εγκατάσταση του patched kernel, μπορείτε να διαγράψετε το αρχείο που δημιουργήθηκε:
sudo rm /etc/modprobe.d/dirtyfrag.conf
Η κύρια σύσταση παραμένει η εξής: εγκαταστήστε τον ενημερωμένο πυρήνα για την διανομή σας και επανεκκινήστε το σύστημα. Πριν από την ενημέρωση, ο υψηλότερος κίνδυνος δημιουργείται από διακομιστές πολλαπλών χρηστών, εκτελεστές CI, κοινόχρηστη φιλοξενία, φάρμες δημιουργίας κοντέινερ και οποιουσδήποτε υπολογιστές όπου μη προνομιούχοι ή μερικώς αξιόπιστοι χρήστες μπορούν να εκτελέσουν τοπικό κώδικα.
Πηγή: linux.org.ru
