DirtyClone: quarta vulnerabilidade no kernel Linux em seis semanas permite escalação de privilégios para root

30 de junho de 2026

Resumo

A vulnerabilidade CVE-2026-43503 (CVSS 8.8), apelidada de DirtyClone e detalhada em uma análise de exploit da JFrog, é a quarta falha descoberta na família DirtyFrag. Ela permite que usuários locais sem privilégios obtenham acesso root ao enganar o kernel para tratar a memória do page cache baseada em arquivos de apenas leitura como gravável. O invasor mapeia um binário privilegiado, como o /usr/bin/su, direciona essas páginas para um pacote e força a descriptografia por meio de um túnel IPsec controlado pelo atacante, sobrescrevendo a lógica de autenticação do binário sem tocar no disco ou deixar registros em logs. O exploit exige a permissão CAP_NET_ADMIN, que está disponível por padrão no Debian e Fedora através de namespaces de usuários não privilegiados, enquanto o Ubuntu 24.04+ bloqueia essa ação via AppArmor.

As causas raízes do problema envolvem auxiliares de transferência de fragmentos que descartam a flag shared-frag, além de vulnerabilidades relacionadas como Copy Fail, DirtyFrag e Fragnesia. Os administradores devem aplicar a correção da ramificação principal (mainline) lançada em 21 de maio ou, caso a atualização imediata não seja viável, definir kernel.unprivileged_userns_clone=0 ou colocar módulos específicos na lista de bloqueio, cientes de que isso desativa o IPsec e o AFS, e de que novas variantes da família DirtyFrag ainda podem surgir.

Fontes

securityaffairs.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 30 de junho de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?