DirtyClone؛ چهارمین حفرهی کرنل لینوکس در شش هفته
خلاصهٔ کاملتر
تیم تحقیقات امنیتی JFrog روی یه آسیبپذیری ارتقای سطح دسترسی (LPE) تو کرنل لینوکس به اسم DirtyClone با شناسهی CVE-2026-43503 (امتیاز CVSS برابر ۸.۸) کار کرده و ۲۵ ژوئن جزئیاتش رو منتشر کرد. به گفتهی گزارش، این حفره به هر کاربر محلیِ بدون دسترسی ویژه اجازه میده با دستکاری page cache کرنل، دسترسی root بگیره.
نکتهی خطرناکش اینه که حمله کاملاً بیصداست: هیچ لاگ کرنلی یا رد ممیزی (audit) نمیذاره و ابزارهای رایج بررسی یکپارچگی فایل روی دیسک هم متوجهش نمیشن. علتش اینه که فایل روی دیسک اصلاً دست نمیخوره؛ تغییر فقط تو حافظه اتفاق میافته.
مکانیزم کلی به گفتهی نویسندهها اینه که یه فایل اجرایی ویژه مثل su رو تو حافظه بارگذاری میکنن و کرنل رو فریب میدن که همون صفحههای حافظهی فقط-خواندنیِ متصل به فایل رو مثل بافر شبکهی قابلنوشتن ببینه. بعد با یه عملیات رمزگشایی درجا تو مسیر IPsec، منطق احراز هویت اون فایل تو حافظه بازنویسی میشه و اجرای بعدیِ su دسترسی root میده — در حالی که نسخهی روی دیسک دستنخورده میمونه.
اجرای حمله به قابلیت CAP_NET_ADMIN نیاز داره. نویسندهها میگن روی Debian و Fedora این قابلیت از طریق user namespaceهای بدونامتیاز که پیشفرض فعالن، برای هر کاربر محلی قابل دسترسیه. اوبونتو ۲۴.۰۴ به بعد با AppArmor ساخت namespace رو محدود کرده و همین مسیر پیشفرض حمله رو میبنده، ولی بقیهی توزیعها با تنظیمات پیشفرض در معرض خطرن.
به گفتهی گزارش، DirtyClone چهارمین عضو خانوادهی DirtyFrag هست؛ یه سری آسیبپذیری خرابی حافظه تو استک شبکهی کرنل که همه یه ریشه دارن: بافرهای سوکت (skb) که به حافظهی page-cache اشتراکی ارجاع میدن و بعد تو زیرسیستمهایی مثل XFRM/IPsec یا RxRPC با تبدیلهای رمزنگاری درجا سوءاستفاده میشن. هر وصله فقط یه مسیر کد رو بسته و بقیه باز موندن، چون این قرارداد که هر تابع جابهجاکنندهی قطعههای skb باید پرچم shared-frag رو حفظ کنه، هیچوقت کامل تو کل کدبیس رعایت نشده.
وصلهی اصلی ۲۱ می merge شد و نسخهی Linux v7.1-rc5 اولین نسخهی اصلاحشده بود. Ubuntu، Debian و SUSE هشدار منتشر کردن و Red Hat هم یه رکورد پیگیری داره. اگه فعلاً نمیشه پچ کرد، دو راهکار موقت هست: غیرفعالکردن ساخت namespace بدونامتیاز با تنظیم kernel.unprivileged_userns_clone=0 روی Debian و Ubuntu، یا بلکلیستکردن ماژولهای esp4، esp6 و rxrpc که همون عملیاتهای رمزگشایی درجا رو حذف میکنه — هرچند این کار IPsec و AFS رو از کار میندازه. نویسندهها میگن هیچکدوم راهحل قطعی نیستن و احتمالاً این خانواده هنوز تموم نشده.
نکات کلیدی:
- DirtyClone (CVE-2026-43503) به کاربر عادی دسترسی root میده
- حمله بیصداست و روی دیسک ردی نمیذاره
- ریشه در بدرفتاری با page cache بهعنوان بافر شبکه در مسیر IPsec
- وصله از ۲۱ می در دسترسه؛ اوبونتو ۲۴.۰۴ بهصورت پیشفرض امنتره




