Dirty Frag no Linux: guia técnico sobre page cache, skb e root local

Dirty Frag é uma escalada local de privilégios no Linux divulgada em 7 de maio de 2026. O ponto técnico é a classe de falha: páginas do page cache podem entrar em fragmentos de rede não lineares e caminhos criptográficos que escrevem in-place. Se a rota deveria copiar antes e não copia, dados de arquivos protegidos podem ser modificados por outro subsistema do kernel.

Modelo de ameaça

O atacante precisa executar código local: shell limitada, job de CI, contêiner, notebook hospedado, plugin ou código de cliente. O risco é maior quando cargas de confiança diferente compartilham o mesmo kernel.

Page cache e propriedade

O page cache faz parte do modelo efetivo de acesso a arquivos. Um processo sem permissão de escrita não deve modificar conteúdo protegido por meio de uma página em cache. Dirty Frag mostra como caminhos zero-copy exigem controle rigoroso de propriedade e mutabilidade.

Fragmentos skb e criptografia

sk_buff pode conter referências a páginas, não apenas um buffer contínuo. Isso é eficiente para splice, sendfile e rede, mas camadas posteriores precisam saber se a memória é privada e gravável. Os materiais do Dirty Frag apontam ESP4/ESP6 e RxRPC como rotas relevantes.

Mitigação

Atualize o kernel pela distribuição ou provedor cloud e reinicie ou substitua nós. Priorize CI/CD, Kubernetes, hosts compartilhados e sistemas com código de terceiros. Até corrigir, use runners efêmeros, reduza secrets, limite contêineres privilegiados e separe níveis de confiança.

FAQ

splice é a causa?

Ele faz parte do fluxo, mas o ponto central é escrever em memória que deveria ser copiada ou tratada como compartilhada.

Devo desativar IPsec?

Não como regra geral. Aplique correções e avalie sua exposição.

Fontes

• Openwall oss-security.
• Write-up Dirty Frag.
• Dirty Frag.
• Hacker News.