Kernel Linux expõe root a usuário local via Dirty Frag

Duas vulnerabilidades no kernel Linux foram divulgadas em abril e maio de 2026 e permitem que usuários locais obtenham acesso root em múltiplas distribuições: Copy Fail (CVE-2026-31431), publicada em 29 de abril, e Dirty Frag (CVE-2026-43284 e CVE-2026-43500), divulgada em 7 de maio. Segundo a InfoQ, "both allow local users to gain root access, affecting multiple Linux distributions" — e a natureza determinística do Dirty Frag significa que a exploração não depende de race condition.

Como funciona e quem está exposto

Dirty Frag explora o mecanismo de fragmentação de páginas no page cache do kernel. A cadeia CVE-2026-43284 + CVE-2026-43500 atinge servidores com kernels não corrigidos onde um processo sem privilégio consegue manipular alocações de memória até obter escrita arbitrária no espaço do kernel. Copy Fail (CVE-2026-31431) usa um caminho diferente — envolve sockets af_alg com splice —, mas chega ao mesmo resultado: root local.

O risco é mais alto em cenários de kernel compartilhado: VPS com OpenVZ ou LXC sem namespace isolado, servidores de build compartilhados e ambientes onde usuários não confiáveis executam código diretamente. Containers sem CAP_SYS_ADMIN com rootfs somente leitura reduzem a superfície, mas não eliminam o vetor se o kernel do host não estiver atualizado.

• Alto risco: VPS com kernel compartilhado (OpenVZ, LXC), servidores de CI/CD com acesso de múltiplos usuários, hosts de container sem isolamento de namespace completo.
• Risco reduzido: containers com rootfs read-only e sem CAP_SYS_ADMIN, VMs com kernel dedicado já atualizado.
• Fora do escopo: ambientes puramente serverless (Vercel, Cloudflare Workers) onde o kernel é totalmente abstraído.

O que fazer agora: patch por distro

As principais distribuições já publicaram ou estão publicando backports. O passo imediato é verificar a versão do kernel em produção com uname -r e checar o canal de segurança da distro:

• Ubuntu: sudo apt update && sudo apt upgrade linux-image-generic — acompanhe o USN correspondente em ubuntu.com/security/notices.
• Debian: apt-get update && apt-get dist-upgrade no branch stable-security.
• AlmaLinux / Rocky Linux: dnf update kernel — verifique ALSA/RLSA emitidos após 10 de maio de 2026.
• Arch Linux: kernel atualizado via pacman -Syu; verifique o changelog em archlinux.org/news.

Após atualizar, o reboot é obrigatório — patches de kernel não entram em vigor com hot reload em produção convencional (exceto se você usa kpatch/livepatch no Ubuntu Pro ou RHEL, que permitem aplicar sem reiniciar).

Próximo passo pós-patch

Depois do reboot, vale revisar quais processos rodam com usuários de baixo privilégio em servidores compartilhados e se há tokens de CI/CD expostos que poderiam ser usados para acesso local. O artigo Segurança de infraestrutura mínima para operação pequena cobre os controles essenciais — sem custo de time enterprise — para quem mantém stack própria em produção.