Sau 1 tuần kể từ vulnerable Copy Fail (CVE-2026-31431) thì nhà nghiên cứu Hyunwoo Kim đã phát hiện lỗi bảo mật mới tên Dirty Frag (CVE-2026-43284) cho phép hacker tấn công, sử dụng user local trên server và chiếm quyền root của server chỉ với 1 câu lệnh duy nhất.
Hiện tại đã xuất hiện exploit với tên gọi Copy Fail 2: Electric Boogaloo cho phép khai thác lỗi bảo mật này.
Chi tiết cách tấn công và các bài viết chuyên sâu được liệt kê dưới đây:
- https://github.com/V4bel/dirtyfrag
- https://www.openwall.com/lists/oss-security/2026/05/07/8
- https://almalinux.org/blog/2026-05-07-dirty-frag/
- https://nvd.nist.gov/vuln/detail/CVE-2026-43284
Nội Dung
Các hệ điều hành bị ảnh hưởng
- Ubuntu
- RHEL
- CentOS
- AlmaLinux
- openSUSE
- Fedora
- CloudLinux
Phương án ngăn chặn tạm thời
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"Lưu ý quan trọng: không apply câu lệnh trên tại các server đang sử dụng IPsec / strongSwan / Libreswan tunnels.
Giải pháp ở trên có thể chưa đủ vì có thể server đã và đang là đối tượng bị tấn công từ trước đó nên cần clear thêm page cache với câu lệnh sau:
sudo echo 3 > /proc/sys/vm/drop_cachesSau khi cập nhật xong kernel Quý khách có thể revert lại như cũ với câu lệnh:
sudo rm /etc/modprobe.d/dirtyfrag.confSự trợ giúp của Imunify360
Bên cạnh đó imunify360 đã nhận diện mẫu tấn công đưa vào diện blacklist trước khi được thực thi trên server.
Đối với các server sử dụng CloudLinux
Hiện tại các server production phục vụ cho dịch vụ Hosting và Reseller Hosting tại vHost phần lớn sử dụng hệ điều hành CloudLinux kết hợp với KernelCare. Trong đó:
| Phiên bản | Ảnh hưởng | Sẽ được patch qua |
| CL7 | No | |
| CL7h | Yes | CloudLinux Kernel |
| CL8 | Yes | CloudLinux Kernel |
| CL9 | Yes | CloudLinux Kernel |
| CL10 | Yes | CloudLinux Kernel |
Cập nhật tạm thời cho CloudLinux 7h, 8
Đối với CL7h
yum --enablerepo=cl7h_beta update 'kernel*'
reboot
uname -rĐối với CL8
yum --enablerepo=cloudlinux-updates-testing update 'kernel*'
reboot
uname -rCập nhật tạm thời cho AlmaLinux kernel (CL9, CL10)
Đối với CL9
# 1. Enable the AlmaLinux 9 testing repo
dnf install -y https://repo.almalinux.org/almalinux/9/extras/x86_64/os/Packages/almalinux-release-testing-9-1.el9.noarch.rpm
# 2. Update the kernel
dnf update 'kernel*'
# 3. Reboot
reboot
# 4. Verify — expected kernel-6.12.0-124.55.2.el10_1 or later
uname -r
# 5. Disable the testing repo
dnf config-manager --disable almalinux-testingĐối với CL10
# 1. Enable the AlmaLinux 10 testing repo
dnf install -y https://repo.almalinux.org/almalinux/10/extras/x86_64/os/Packages/almalinux-release-testing-10-1.el10.x86_64.rpm
# 2. Update the kernel
dnf update 'kernel*'
# 3. Reboot
reboot
# 4. Verify — expected kernel-6.12.0-124.55.2.el10_1 or later
uname -r
# 5. Disable the testing repo
dnf config-manager --disable almalinux-testingKết quả kiểm tra nếu là kernel-5.14.0-611.54.3.el9_7 hoặc mới hơn là đã update.
Hiện tại tất cả các kernel dều đang ở giai đoạn beta và testing, chưa có stable release chính thức.
Sau khi có stable release thì Quý khách có thể update theo lệnh sau:
Đối với CL7h, CL8
yum update 'kernel*'
reboot
uname -rĐối với CL9, CL10
dnf update 'kernel*'
reboot
uname -rNếu Quý khách đang sử dụng KernelCare thì cũng có thể thực hiện tham gia testing với câu lệnh sau:
kcarectl --update --prefix testVà kiểm tra lại với kết quả:
kcarectl --patch-info | grep [CVE-2026-43284]Làm sao kiểm tra hệ thống đã patch hoàn tất
Đối với server không sử dụng KernelCare, cần phải reboot sau khi update với câu lệnh sau:
uname -rĐối với server đang sử dụng KernelCare, kiểm tra với câu lệnh sau:
kcarectl --patch-info | grep [CVE-2026-43284]Nếu Quý khách cần hỗ trợ thêm thông tin, có thể đặt câu hỏi tại đây.
