Когда патчи безопасности рождают новые уязвимости: разбираем Fragnesia и риски Linux kernel

Если вы следите за новостями о безопасности Linux, то заметили тревожную тенденцию. Каждые пару недель всплывает новая дыра для повышения привилегий. И каждая следующая — хитрее предыдущей. Последний пример — Fragnesia. Её раскрыл William Bowling из V12 Security в мае 2026 года.

Особенность Fragnesia в том, что она показывает главную проблему kernel-разработки. Патчи, которые закрывают одну дыру, иногда открывают другую. И это не редкость.

Как работает Fragnesia: суть атаки

Fragnesia — это локальная уязвимость для повышения прав. Она прячется в подсистеме XFRM kernel'а, конкретно в ESP-in-TCP для IPsec. XFRM отвечает за шифрование сетевого трафика, а ESP — протокол для безопасной передачи данных.

Нападающий с обычными правами юзера может через эту подсистему ковыряться в page cache kernel'а. В итоге он перезаписывает ключевые бинарники вроде /usr/bin/su прямо в памяти. Файлы на диске остаются целыми. Такие трюки ставят в тупик инструменты мониторинга файловой системы.

Почему это касается вашей инфраструктуры

Для атаки нужно минимум:

• Локальный доступ без прав root.
• Возможность создавать user namespaces (фича для контейнеров).

Большинство свежих дистрибутивов Linux уязвимы, если не стоит AppArmor или аналог. Если у вас контейнеры, Kubernetes или мультитенантные setups — проверьте срочно.

В отличие от Copy Fail (CVE-2026-31431) или DirtyFrag, Fragnesia детерминирована. Никаких race conditions или лотереи с таймингом. Работает стабильно, даёт root каждый раз.

Паттерн, который пугает

Fragnesia родилась из старых патчей kernel'а. Это классика: фикс в одном месте ломает другое. Человеческий фактор плюс огромный код.

DirtyFrag выплыла за пару дней до. Обе дыры показывают: поверхность атаки в kernel'е растёт, несмотря на усилия сообщества.

Что делать немедленно

Срочно:

• Выгрузите модули: rmmod esp4 esp6 rxrpc.
• Запретите unprivileged user namespaces, если контейнеры не нужны.
• Проверьте системы на наличие namespace-создания локальными юзерами.
• Следите за PoC в репозиториях и сканируйте свои сервера.

На перспективу:

• Пересмотрите security для контейнеров — нужно ли unprivileged namespaces везде?
• Внедрите SELinux или AppArmor для контроля namespaces.
• Следите за патчами kernel'а, применяйте быстро, но разбирайтесь, что они меняют.
• Клиентам NameOcean: наша облачная инфраструктура изолирована, но принцип least privilege обязателен для аккаунтов.

Общая картина

Fragnesia вписывается в серию сложных kernel-дыр. Они сыплются одна за другой. Это напоминание: баланс между скоростью, фичами и безопасностью — вечная война.

В NameOcean мы знаем: база под приложениями важна не меньше кода. Хостите на dedicated серверах или используйте Vibe Hosting с AI-оптимизацией — kernel и патчи всегда в рутине.

Ирония Fragnesia в том, что патчи безопасности её и создали. Нет волшебной пилюли. Будьте в курсе, держите гигиену, стройте defense-in-depth и реагируйте быстро.

Обновляйте kernel, но проверяйте изменения. В 2026 году это база ops-sec.