用心打造
VPS知识分享网站

Canonical 确认 Ubuntu 已修复 DirtyClone Linux 内核漏洞

Canonical 近日确认,Ubuntu 已经发布内核安全更新,用于修复 DirtyClone 漏洞。该漏洞编号为 CVE-2026-43503,是一个 Linux 内核本地权限提升漏洞,攻击者在满足本地访问条件的情况下,可能借此获得 root 权限。

DirtyClone 由 JFrog 于 2026 年 6 月 25 日公开披露,CVSS 3.1 评分为 8.8,属于高危漏洞。Canonical 表示,该问题此前已经负责任地披露给 Linux 内核维护者,CVE 记录于 2026 年 5 月 23 日发布,Ubuntu 的首批安全更新则已在 2026 年 6 月 2 日推出。

Canonical 确认 Ubuntu 已修复 DirtyClone Linux 内核漏洞

从影响来看,DirtyClone 的核心风险是 本地权限提升。在没有运行容器工作负载的主机上,本地用户可能利用该漏洞提升到 root 权限。对于运行第三方工作负载的容器环境,该漏洞还可能进一步带来容器逃逸风险,不过 Canonical 指出,目前尚未公开针对容器逃逸场景的概念验证利用代码。

值得注意的是,DirtyClone 影响的组件与此前披露的 Dirty Frag 和 Fragnesia 漏洞存在关联。如果管理员此前已经按照这些漏洞的缓解建议,阻止了受影响的内核模块加载,那么系统也可以免受 DirtyClone 的影响。

对于 Ubuntu 用户来说,修复已经通过 Linux 内核镜像软件包提供。以下版本已经包含对应修复:

Ubuntu 版本 修复状态
Ubuntu 26.04 LTS 已修复,7.0.0-22.22
Ubuntu 25.10 已修复,6.17.0-35.35
Ubuntu 24.04 LTS 已修复,6.8.0-124.124
Ubuntu 22.04 LTS 已修复,5.15.0-181.191
Ubuntu 20.04 LTS,Linux 5.15 内核 已修复,5.15.0-181.191~20.04.1
Ubuntu 20.04 LTS,Linux 5.4 内核 仍受影响

Canonical 的受影响列表中还包括 Ubuntu 14.04 LTS、16.04 LTS 和 18.04 LTS 等旧版本。对于仍在维护旧系统的用户来说,建议尽快确认当前内核分支和安全更新状态,避免因为系统版本过旧而暴露风险。

用户可以通过下面的命令查看当前正在运行的内核版本:

uname -r

如果需要查看系统中已经安装的内核镜像软件包,可以使用:

dpkg -l 'linux-image*' | grep ^ii

对于大多数 Ubuntu 用户来说,最直接的处理方式是执行完整系统更新:

sudo apt update && sudo apt upgrade

如果只希望更新通过内核元软件包安装的内核,Canonical 也提供了专门的更新方式。不过对于普通用户和服务器管理员来说,完整升级通常更简单,也更不容易遗漏相关依赖。

需要注意的是,内核更新安装完成后,并不代表系统已经开始运行修复后的内核。用户还需要 重启系统,让新内核真正生效:

sudo reboot

Canonical 还提醒,Ubuntu 16.04 LTS 及更新版本默认启用了 unattended-upgrades,也就是无人值守升级功能。系统可能会在安全更新发布后的 24 小时内自动安装补丁,但即便补丁已经安装,仍然需要重启才能完成修复。

整体来看,DirtyClone 是一个需要 Ubuntu 用户认真对待的 Linux 内核漏洞。它对普通桌面用户的影响取决于本地访问条件,但对服务器、容器平台和多用户系统来说风险更高。建议相关用户尽快检查内核版本,并确认系统已经运行在修复后的内核上。

赞(0)
未经允许不得转载;国外VPS测评网 » Canonical 确认 Ubuntu 已修复 DirtyClone Linux 内核漏洞
分享到