Linux Kernel LPE 2026: Copy Fail, Dirty Frag ve Fragnesia Karşılaştırması

Q: 15 Günde Neden Üç Zafiyet?

Her üç zafiyet de aynı sömürü sınıfına ait: splice() sistem çağrısının, kernel ağ veya kripto alt sistemleri üzerinden salt okunur page-cache sayfalarını bozmak için ayrıcalıksız biçimde kötüye kullanılması. Temel örüntü — page-cache destekli sayfanın zorunlu kopya yapılmadan yazılabilir tampon yoluna ulaşmasına izin veren kernel kodu — birden fazla alt sistemde mevcut. Bağımsız ekipler tarafından eş zamanlı keşif, bu açık sınıfının aktif olarak araştırıldığını ve kernel genelinde henüz tam denetlenmediğini gösteriyor.

29 Nisan ile 14 Mayıs 2026 arasında Linux kernel, birbirinden bağımsız üç yerel yetki yükseltme zafiyetiyle vuruldu. Tümü deterministik, tümü farklı kernel alt sistemleri üzerinden page-cache yazma primitiflerini sömürüyor, tümünün CVSS puanı 7.8. Her biri farklı bir araştırma ekibi tarafından keşfedildi ve her biri ayrı geçici önlem ile yama gerektiriyor.

Bu rehber, özellikle zincirin yalnızca bir kısmını tamamlamış savunucular için hangi önlemin hangi zafiyeti kapsadığını ve hangi sistemlerin hâlâ risk altında olduğunu netleştirmek amacıyla hazırlandı.

Hızlı Referans

| | Copy Fail | Dirty Frag | Fragnesia | |---|---|---|---| | CVE | CVE-2026-31431 | CVE-2026-43284 + CVE-2026-43500 | CVE-2026-46300 | | Duyuru tarihi | 29 Nisan 2026 | 8 Mayıs 2026 | 14 Mayıs 2026 | | Kernel alt sistemi | algif_aead (kripto API) | xfrm-ESP (IPsec) + RxRPC | XFRM ESP-in-TCP | | Keşif ekibi | Xint Code (Theori) | Merav Bar + Rami McCarthy (Wiz) | William Bowling (Zellic) + V12 | | Exploit güvenilirliği | Deterministik | Deterministik | Deterministik | | Gerçek dünya saldırısı | Evet (CISA KEV) | Sınırlı (Microsoft Defender) | Açıklama sırasında yok | | CAP_NET_ADMIN gereksinimi (container) | Hayır | Evet | Evet | | Kamuya açık PoC | Evet | Evet | Evet | | CVSS | 7.8 YÜKSEK | 7.8 YÜKSEK | 7.8 YÜKSEK |

15 Günde Neden Üç Zafiyet?

Her üç zafiyet de aynı sömürü sınıfına ait: splice() sistem çağrısının, kernel ağ veya kripto alt sistemleri üzerinden salt okunur page-cache sayfalarını bozmak için ayrıcalıksız biçimde kötüye kullanılması. Temel örüntü — page-cache destekli sayfanın zorunlu kopya yapılmadan yazılabilir tampon yoluna ulaşmasına izin veren kernel kodu — birden fazla alt sistemde mevcut.

Bağımsız ekipler tarafından eş zamanlı keşif, bu açık sınıfının aktif olarak araştırıldığını ve kernel genelinde henüz tam denetlenmediğini gösteriyor.

Hangi Önlem Neyi Kapsar?

Bu, en kritik operasyonel soru. Pek çok ekip Copy Fail önlemini erken uyguladı — ancak o önlem sonraki iki zafiyet için hiçbir şey yapmıyor.

| Uygulanan önlem | Copy Fail | Dirty Frag | Fragnesia | |---|---|---|---| | Yalnızca algif_aead kara listesi (Copy Fail workaround) | ✅ Hafifletildi | ❌ Hafifletilmedi | ❌ Hafifletilmedi | | esp4 + esp6 + rxrpc kara listesi (Dirty Frag workaround) | ❌ Hafifletilmedi | ✅ Hafifletildi | ✅ Hafifletildi | | Her iki kara liste uygulandı | ✅ Hafifletildi | ✅ Hafifletildi | ✅ Hafifletildi | | Vendor kernel patch (tüm CVE'ler) | ✅ Yamalandı | ✅ Yamalandı | ✅ Yamalandı |

Tüm kernel yamaları uygulanana kadar her iki kara listeyi de uygulayın

# Copy Fail geçici önlemi
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true

# Dirty Frag + Fragnesia geçici önlemi
cat > /etc/modprobe.d/disable-dirtyfrag.conf << 'EOF'
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF
rmmod rxrpc 2>/dev/null || true
rmmod esp6 2>/dev/null || true
rmmod esp4 2>/dev/null || true

Saldırı Yüzeylerinin Farkı

Copy Fail (CVE-2026-31431)

Modül: algif_aead — kernel userspace kripto API arayüzü
Yol: AF_ALG soket → splice() → page-cache sayfasına 4 bayt yazma
Container riski: CAP_NET_ADMIN gerektirmez. Ayrıcalıksız container kullanıcısı özel kapasite olmadan sömürebilir; bu da çok kiracılı ortamlarda özellikle tehlikelidir.
Engelleme: algif_aead modülünü devre dışı bırak

Dirty Frag (CVE-2026-43284 + CVE-2026-43500)

Modüller: esp4, esp6 (IPsec/xfrm), rxrpc
Yol: İki ayrı page-cache yazma primitifi — biri xfrm-ESP işleme yolu üzerinden, diğeri RxRPC üzerinden
Container riski: Varsayılan Kubernetes seccomp yapılandırmalarında CAP_NET_ADMIN gerektirir. Ancak yanlış yapılandırılmış pod'lar, host seviyesi SSH erişimi veya container escape bu gereksinimi atlatır.
Gerçek dünya: Microsoft Defender tarafından SSH ayak izi + yetki yükseltme + GLPI değişikliği içeren aktif kampanya gözlemlendi
Engelleme: esp4, esp6, rxrpc modüllerini devre dışı bırak

Fragnesia (CVE-2026-46300)

Modül: XFRM ESP-in-TCP (esp/xfrm alt sisteminin bir parçası)
Yol: Dirty Frag'dan farklı iç kod yolu, aynı xfrm ESP alt sistemi
Container riski: CAP_NET_ADMIN gerektirir (Dirty Frag ile aynı sınıf)
Gerçek dünya: Açıklama sırasında gözlemlenmedi
Engelleme: Dirty Frag'ı kapsayan esp4/esp6 kara listesi Fragnesia'yı da kapatır

Öncelik Sıralaması

En yüksek risk — hemen yama ve geçici önlem

Çok kiracılı veya karma güven workload'ları çalıştıran Kubernetes node'ları (tüm üç CVE; Copy Fail CAP_NET_ADMIN bariyeri olmadan özellikle tehlikeli)
Güvenilmez pull request'leri işleyen self-hosted CI/CD runner'ları (tüm üç CVE)
Harici ağlardan SSH erişimine açık sistemler (Dirty Frag gerçek dünya kampanyası bu profili hedefliyor)
Kullanıcı kodu çalıştıran SaaS/notebook platformları

Yüksek risk — öncelikli yama planı

IPsec VPN gateway'leri (esp4/esp6 modülleri muhtemelen aktif; kara liste workaround tünelleri keser — bakım penceresi planla)
Güvenilmez hesaplara erişilebilen çok kullanıcılı Linux sunucular

Yönetilebilir risk — standart yama takvimi

Yalnızca güvenilir shell erişimi olan tek kiracılı sunucular tüm üç yamayı uygulamalı ama yüksek riskli kategoriden farklı şekilde takvimlenebilir.

Patch Kontrol Listesi

| CVE | Modül engellendi mi? | Vendor patch uygulandı mı? | Doğrulandı mı? | |---|---|---|---| | CVE-2026-31431 (Copy Fail) | algif_aead | ☐ | ☐ | | CVE-2026-43284 (Dirty Frag xfrm) | esp4, esp6 | ☐ | ☐ | | CVE-2026-43500 (Dirty Frag RxRPC) | rxrpc | ☐ | ☐ | | CVE-2026-46300 (Fragnesia) | esp4, esp6 | ☐ | ☐ |

Mevcut Modül Yükleme Durumunu Doğrula

# Tüm saldırı yüzeyi modüllerini tek seferde kontrol et
lsmod | grep -E "^(algif_aead|esp4|esp6|rxrpc)" || echo "Etkilenen modüllerin hiçbiri yüklü değil"

# Kara listelerin yerinde olup olmadığını kontrol et
cat /etc/modprobe.d/disable-algif.conf 2>/dev/null || echo "Copy Fail kara listesi bulunamadı"
cat /etc/modprobe.d/disable-dirtyfrag.conf 2>/dev/null || echo "Dirty Frag kara listesi bulunamadı"

Ayrıntılı Analizler

Her zafiyetin tam teknik yazısı için:

SSS

Her üç zafiyet de fiziksel veya yerel erişim gerektiriyor mu?

Fiziksel değil, yerel kod çalıştırma gerektiriyor. SSH oturumları, web shell, compromised container workload ve CI/CD job runner'ları gerekli çalıştırma bağlamını sağlar.

Bir CVE'yi yamalamak diğer üçünü de korur mu?

Hayır. Her CVE kendi kernel yamasını gerektiriyor. Dağıtım advisory'nizin hangi CVE'leri kapsadığını dikkatle kontrol edin.

Tam yamalı kernel üç zafiyetten birine hâlâ savunmasız mı?

Hayır. Dağıtımınız CVE-2026-31431, CVE-2026-43284, CVE-2026-43500 ve CVE-2026-46300'ün tamamını açıkça kapsayan bir kernel paketi yayımladığında uygulayın ve modül kara listelerini kaldırın.

Vendor patch'imin üç zafiyetin tamamını kapsayıp kapsamadığını nasıl anlarım?

Dağıtımınızın CVE takip sayfasını kontrol edin. Kara listeyi kaldırmadan önce güvenlik bildirisinin CVE-2026-31431, CVE-2026-43284, CVE-2026-43500 ve CVE-2026-46300'ü listelediğini doğrulayın.