Linux sunucularınızın tamamen güvende olduğunu mu düşünüyorsunuz? Tüm dünyadaki sistem yöneticileri, en popüler Linux dağıtımlarını kökünden sarsan yeni bir yerel yetki yükseltme (LPE) zafiyeti ile karşı karşıya. Siber güvenlik dünyasında büyük yankı uyandıran bu yeni tehdidin adı: Dirty Frag.

Üstelik henüz resmi bir yaması yok ve sisteme giriş sağlamış yetkisiz bir kullanıcının tek bir komutla tam yetkili "root" erişimi elde etmesine olanak tanıyor. Milyonlarca sunucunun risk altında olduğu bu senaryo, Linux ekosisteminin son yıllarda karşılaştığı en ciddi sınavlardan biri olabilir.

Güvenlik araştırmacısı Hyunwoo Kim (@v4bel) tarafından Mayıs 2026'da ifşa edilen Dirty Frag, aslında tek bir kod hatası değil. Yakın zamanda keşfedilen ve aktif olarak istismar edilen "Copy Fail" (CVE-2026–31431) zafiyetinin çok daha tehlikeli bir halefi. Ubuntu 24.04.4'ten RHEL 10.1'e, Fedora 44'ten AlmaLinux 10'a kadar hemen hemen tüm majör dağıtımlar bu tehdidin menzili içinde yer alıyor.

Peki, Dirty Frag'i öncekilerden bu kadar yıkıcı yapan şey ne? Zamanlama pencerelerine (race condition) dayalı eski zafiyetlerin aksine, Dirty Frag deterministik bir mantık hatası üzerinden çalışıyor. Bu da demek oluyor ki exploit (istismar) işlemi başarısız olsa bile kernel (çekirdek) çökmüyor. Saldırganlara neredeyse yüzde yüz başarı oranı sunan oldukça stabil bir silah veriyor.

Olayın teknik mimarisine indiğimizde, Dirty Frag'in iki farklı zafiyeti birbirine zincirleyerek devasa bir güvenlik açığı yarattığını görüyoruz: xfrm-ESP Page-Cache Write ve RxRPC Page-Cache Write.

Araştırmacı Kim'in raporuna göre, bu iki hata birbirinin sistemdeki "kör noktalarını" kusursuzca kapatıyor:

  • xfrm-ESP Zafiyeti: Saldırganlara CVE-2026–31431'e (Copy Fail) çok benzer şekilde küçük bellek önbelleklerinin (page cache) üzerine yazma imkanı tanıyor. Ancak bu yol, kullanıcının bir 'namespace' oluşturmasını gerektiriyor (ki Ubuntu gibi sistemler AppArmor ile bunu engelliyor).
  • RxRPC Zafiyeti: ESP'nin engellendiği yerlerde ikinci zafiyet devreye giriyor. RxRPC namespace gerektirmiyor. RHEL gibi dağıtımlarda bu modül varsayılan olarak bulunmasa da, Ubuntu sistemlerde otomatik olarak yükleniyor.

Saldırganlar, hedefin işletim sistemi ortamına göre bu iki tekniği esnek bir şekilde birleştirerek sistemin savunmasını adeta baypas ediyor.

Şu an durum sandığımızdan çok daha kritik bir evrede. Zira Dirty Frag için tam çalışan bir Proof-of-Concept (PoC) exploit kodu internette dolaşıma girdi bile. Bu, teknik bilgisi zayıf saldırganların bile sunucularınızı ele geçirebileceği anlamına geliyor.

Daha da kötüsü, önceki Copy Fail (CVE-2026–31431) zafiyeti için uygulanan algif_aead modülünü kara listeye alma (devre dışı bırakma) çözümü, Dirty Frag'e karşı kesinlikle işe yaramıyor. Dirty Frag, bu modülden bağımsız olarak tetiklenebiliyor.

Ne Yapmalısınız?

Henüz resmi çekirdek (kernel) yamaları yayınlanmadığı için, sistem yöneticilerinin acilen etkilenen modülleri manuel olarak kapatması hayati önem taşıyor. Sunucularınızı bu felaketten korumak için terminalinizde şu "mitigation" (hafifletme) komutunu hemen çalıştırmalısınız:

Bash

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Açık kaynak dünyası bu tür fırtınalara alışkındır ancak fırtına dinene kadar tedbiri elden bırakmamak şart. Dağıtımınız için resmi güvenlik yaması yayınlandığı an sistemlerinizi güncellemeyi unutmayın; fakat o zamana kadar bu geçici koruma kalkanını derhal aktif edin.

Sunucularınızı güvende tutun!