Linuxは厄年か?重大な脆弱性「Dirty Frag」のが見つかった話と影響について
先日の脆弱性に続いてまたもやLinuxでroot権限が簡単にとれてしまう重大な脆弱性が見つかった。
2026年5月7日にHyunwoo Kim氏 (@v4bel) によって公開されたLinuxカーネルのLPE (ローカル権限昇格) で、エンバーゴが第三者によって破られたためパッチもCVEも未発行のまま完全公開されている。
DirtyFragと呼ばれる、Dirty Pipe / Copy Failと同じ系譜のページキャッシュ汚染系の脆弱性になります。
以下参照
https://github.com/V4bel/dirtyfrag
技術的構造 — 2つのバグのチェイン
- xfrm-ESP Page-Cache Write: IPsec/ESPネットワークスタック (esp_input()) に2017年1月のcommit cac2661c53f3から存在。splice-pinnedなページキャッシュ参照を持つ非線形skbがskb_cow_data()のCOWチェックをバイパスし、ESP復号路がページキャッシュへ直接4バイトの任意書き込みを行う
- RxRPC Page-Cache Write: rxkad_verify_packet_1() に2023年6月から存在。namespace権限不要で、pcbc(fcrypt) 復号でsplice-pinnedページに8バイト書き込み。鍵をユーザ空間でブルートフォースしてから書き込むので決定論的
レースコンディション不要の決定論的論理バグなので、失敗してもカーネルはpanicせず成功率が極めて高いものとなります。
Dirty Fragのうちxfrm-ESP variantはCopy Fail (CVE-2026-31431) と同じsink (esp_input) を共有している。
Copy Failの緩和でalgif_aeadをブラックリストしていても、Dirty Fragには効かない (こちらはxfrm netlink経由で別経路)。両方独立に対処する必要があるため。
影響範囲
- Ubuntu 24.04.4
- RHEL 10.1
- CentOS Stream 10
- AlmaLinux 10
- Fedora 44
- openSUSE
- Tumbleweed
- Debian
など、kernel 7.0.x までの全主要ディストリ。xfrm-ESPは2017年から、RxRPCは2023年から有効で、実質9年分の脆弱性が報告されています。
対策
こちらに関しては対策が見つかっていません。
修正パッチが出るまで、待ちの状態です。
他力本願ではありますが、Linuxのコミュニティの天才エンジニアたちにお任せしようかと思います。
自身の利用しているディストリビューションへの影響
自身が利用しているディストリビューションは以下
- NixOS
- QubesOS
- TialsOS
NixOS
NixOS の影響: 完全に脆弱、しかもデフォルトで防御要因が薄い影響範囲NixOS 25.11 (stable) も unstable も Linux kernel 6.12.x LTS 系をベースにしているので、両方とも脆弱。
Dirty Fragはディストリ非依存なカーネルバグなので、NixOSも例外ではない。
NixOS固有の事情により防御層が薄くなっている。NixOSはUbuntuやRHELよりもDirty Fragの攻撃面が広い。
AppArmor がデフォルトで無効 — Ubuntuの一部設定はAppArmorでunprivileged user namespace 作成をブロックして xfrm-ESP variant を塞いでいるが、
NixOSは
security.apparmor.enable = true
を明示的に設定しないと有効化されない。
つまり素のNixOSは「user→root を阻む追加層がほぼない」状態になっているので、自身で設定をする必要がある。
Dirty FragのPoCを持ってきて実行すれば普通に通ってしまうため、Ubuntu/RHELよりも露出が大きい点は意識しておかなければいけない。
QubesOS
影響は出るが、運用方法でカバー。
そもそも論、Qubesはroot権限を取られてもよい前提で動いているので想定通り。
が、成立する条件としてはテンプレートが汚染されていないこととdom0が分離されていること。
Xen + dom0の防衛戦が突破されない限りは問題がなさそう。
Dirty Frag単体ではAppVMが汚染されたとしてもTemplateまでは届かない。
通常通りTemplateVMの運用だけ注意する。
運用上、以下の確認をしておくと良さそう。
- TemplateVMで何かインストール・更新したとき → 派生AppVM全部にrootkit仕込まれた可能性をゼロにできない (= テンプレ汚染されたかの確認手間)
- sys-net みたいなネット接触VMでrootが取られた状態が続いていた → そのVMから他VMへqrexec経由の悪さがなかったかのログ確認
- dom0は元々ほぼ閉じてるが、USB/qrexecの経由で何か落ちてないかの確認
TailsOS
完全に匿名性がなくなるおそれがある。そもそものTailsのコンセプトの崩壊につながる話。
Tailsの脅威モデルでローカル権限昇格が致命的な理由は、root取得 = 匿名性の崩壊につながること。
- iptables/nftables のTor強制を解除して直接接続可能に → 匿名性破壊
- カーネルレベルのフックでTor回路情報を漏洩
- LUKSが解錠されていればPersistent Storageに書き込み (永続化)
- MAC randomization の解除
「Tor Browser のexploit → 非特権コード実行 → Dirty Frag → root → 匿名性破壊」というチェイン全体が、Tailsが歴史的に最も警戒してきたシナリオそのもの。
まとめ
直近Linuxで大きな脆弱性が見つかっている。
愛用しているディストリビューションも影響がでているため、QubesOS1本化も考えてもいいかもしれないと思わせる出来事だった。
ただ、これはLinuxがOSSであるから見つかった問題であって、もしかしたらMacOSやWindowsには見つけられていない重大な脆弱性があるのかもしれない。
今一度自分のPCの運用状況を考え直すべきかもしれない。