Dirty frag

flag

Дислексия нынче лечится

mittorn ну вот а мы ещё недавно обсуждали GTK2-NG: форк библиотеки GTK2 (комментарий)

В тут уязвимые модули: esp4 esp6 rxrpc.

Не понял про статус уязвимости. Он там пишет «нет патчей» итд а затем даёт ссылки на два патча (причём один из них в виде коммита 5 мая, второй в виде письма 30 апреля в рассылке ядра.

И ещё про «embargo broken» это что значит?

И ещё про «embargo broken» это что значит?

2026-05-07: Submitted detailed information about the vulnerability and the exploit to the linux-distros mailing list. The embargo was set to 5 days, with an agreement that if a third party publishes the exploit on the internet during the embargo period, the Dirty Frag exploit would be published publicly.

Так и где эти «third party publishers»?

И я так понимаю что в самом ядре уже всё пофиксили, но дистры не успели опакетить?

2026-04-29: Submitted detailed information about the rxrpc vulnerability and a weaponized exploit that achieves root privileges on Ubuntu to security@kernel.org.

2026-04-29: Submitted the patch for the rxrpc vulnerability to the netdev mailing list. Information about this issue was published publicly.

2026-05-07: Submitted detailed information about the vulnerability and the exploit to the linux distros mailing list. The embargo was set to 5 days, with an agreement that if a third party publishes the exploit on the internet during the embargo period, the Dirty Frag exploit would be published publicly.

2026-05-07: Detailed information and the exploit for the esp vulnerability were published publicly by an unrelated third party, breaking the embargo.

2026-05-07: After obtaining agreement from distribution maintainers to fully disclose Dirty Frag, the entire Dirty Frag document was published.

А фиг его знает, он их не называет и ссылку не даёт. Просто абстрактно «опубликовано третьей стороной» и всё.

2026-05-07: Detailed information and the exploit for the esp vulnerability were published publicly by an unrelated third party, breaking the embargo.

Кстати предлагаемая блокировка модулей через прописывание чего-то в /etc/modprobe.d/ разве не только после ребута применится? Ядерные сисколлы сами эти конфиги явно не будут читать. Думаю удаление файлов надёжнее.

lsmod | grep -F esp4 ; lsmod | grep -F esp6 ; lsmod | grep -F rxrpc ; rm -v /lib/modules/*/kernel/net/ipv4/esp4.* /lib/modules/*/kernel/net/ipv6/esp6.* /lib/modules/*/kernel/net/rxrpc/rxrpc.*

и уязвимые они по совершенно несвязанной с rpc причине, просто в модуле оказался кривой код (а в итоге опять неправильная работа со страничным кэшем)

на LTS патчей нет, имеющиеся патчи к LTS не применяются. production-системы на LTS, которым вероятно нужна эта функциональность (фактически любая LTS система с IpSec) оказываются под угрозой

rmmod не забудь

в прошлый раз было так:
https://social.treehouse.systems/@mgorny/116492043427737062

А я и не утверждал про причины. Я утверждал что почему-то слово rpc регулярно слышится в контексте другого слова «дыра», а вне этого контекста я его почти не слышал. Корреляция есть, а уж что там причина для чего - другой вопрос.

Касательно конкретно этих модулей: очередная пачка всякого ненужно, которую и компилить то не следовало (как и модули из предыдущей дыры), неудивительно что ошибка именно в таком (ненужное никто не проверяет даже на то что оно вообще работает). Плохо что традиция использовать кастомизированные по себя ядра, с вырезанным всем ненужным, почти исчезла.

Советы «просто делать rmmod» тут плохие. Я там lsmod вставил чтобы проверить что модули не загружены. Если они не загружены - то rmmod незачем. Если же загружены - то надо выяснять почему они подгрузились (вдруг тебе уже руткит залили но забыли модули выгрузить для заметания следов). Так что нет, слепое rmmod это вредный совет.

и IpSec не нужен?
Однако, на десктопах у меня этих модулей не скомпилировано (как и в случае CopyFail), так что очередная уязвимость, которой подвержены якобы все дистры у меня не работает

так и уделание модулей если они уже загружены не поможет до ребута

Скажем так, в большинстве случаев модули будут не загружены - поэтому этот однострочник их просто удалит и всё. Если же они оказались загружены - то надо выяснять что случилось и возможно исправлять последствия - это уже другая история и однострочником тут не обойтись.

Да, ipsec не нужен. Это тот случай, когда старый код надо выносить на мусорку. Используется он где-то сейчас исключительно по легаси-причинам, причём в большинстве случаев - в режиме из двух участников, который реализован современным wireguard-ом с в 100 раз меньшим количеством строк кода. Впрочем, на мой взгляд всему этому в ядре вообще не место, лучше в юзерспейсе делать пусть и чуть медленнее.

так и уделание модулей если они уже загружены не поможет до ребута

Ну так он потому и делает lsmod | grep помимо rm. Если какие-то из модулей загружены, ты это соответственно увидишь в выводе и (разобравшись, почему они загружены, если надо) сделаешь на них rmmod.

У меня вот ни на одной машине ни один из этих модулей не загружен.

уделание модулей

Да, уделать их полностью! :)

Кода в 100 раз меньше а дыры в нем находили регулярно несколько лет назад. Вот этот вг как раз эталонное не нужно. А IPsec ну Легаси, обычно конторами используется

откуда уверенность, что wireguard будет быстрее xfrm?