Fecha de publicación: 8 de mayo de 2026 CVE: CVE-2026-43284
Dirty Frag es una vulnerabilidad de escalamiento local de privilegios en el kernel de Linux que afecta los módulos esp4, esp6 y rxrpc. Permite que un usuario o proceso con acceso limitado al sistema obtenga privilegios de administrador (root) bajo determinadas condiciones.
Estos módulos son cargados automáticamente por el kernel cuando se accede a ciertas interfaces de red, por lo que un usuario sin privilegios puede activar el código vulnerable incluso si los servicios asociados no están en uso.
Al momento de publicar este artículo, no existen parches oficiales disponibles para la mayoría de las distribuciones, por lo que se recomienda aplicar la mitigación manual a la brevedad.
Sistemas afectados
Servidores Linux con kernels publicados desde 2017 en adelante, incluyendo CentOS, RHEL, AlmaLinux, Rocky Linux, Ubuntu, Debian, SUSE, CloudLinux y Amazon Linux, entre otros.
Para identificar su distribución y versión del kernel:
cat /etc/os-release
uname -r
Mitigación
Importante: Los módulos esp4 y esp6 son utilizados por IPsec. El módulo rxrpc es utilizado por AFS. Si bloquea estos módulos en un servidor que los utiliza, el servicio asociado dejará de funcionar.
La mitigación consiste en bloquear la carga futura de los módulos afectados y descargarlos si están actualmente cargados. No requiere reinicio.
Paso 1: Bloquear y descargar los módulos
Ejecute como root o con sudo:
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"Paso 2: Liberar las cachés del kernel
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'Importante: Este paso es obligatorio. Sin él, la mitigación puede no surtir efecto completo en distribuciones de la familia RHEL (CentOS, RHEL, AlmaLinux, Rocky, CloudLinux).
Verificación
Confirmar que el archivo de configuración fue creado
cat /etc/modprobe.d/dirtyfrag.confLa salida debe contener exactamente:
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
Confirmar que los módulos no están cargados
lsmod | grep -E '^(esp4|esp6|rxrpc)'La salida debe estar vacía.