Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- Уровень критичности уязвимости (CVSSv3.1): 8.8 (high)
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
- Уровень критичности уязвимости (CVSSv4.0): 8.5 (high)
Описание уязвимости:
Информируем об уязвимостях ядра Linux: CVE-2026-43284 и CVE-2026-43500, получивших неофициальное наименование Dirty Frag. Вектор атаки предполагает возможность локального повышения привилегий до уровня суперпользователя (root) и затрагивает модули ядра Linux: esp4, esp6 и rxrpc
Статус уязвимости: Не применима в PT NGFW
Рекомендации:
В штатной конфигурации любые модели и версии PT NGFW не подвержены уязвимостям CVE-2026-43284 и CVE-2026-43500: уязвимые модули esp4, esp6 и rxrpc не загружены в Linux.
Дополнительно убедиться, что модуль не загружен, можно по алгоритму ниже.
Команды запрета на загрузку уязвимого модуля указаны ниже:
Проверка загружены ли уязвимые модули:
lsmod | grep esp4; lsmod | grep esp6; lsmod | grep rxrpc или
kmod list | grep esp4; kmod list | grep esp6; kmod list | grep rxrpc
- Если модули не загружены, то дополнительных действий не требуется.
- Если модули загружены, то отключите их вручную следующими командами:
sudo rmmod esp4
sudo rmmod esp6
sudo rmmod rxrpc
Принудительный запрет на загрузку уязвимых модулей: sudo nano /etc/modprobe.d/dirtyfrag-blacklist.conf
- Добавить в файл следующие строки:
install esp4 /bin/true
install esp6 /bin/true
install rxrpc /bin/true - Обновить текущий образ initramfs: sudo update-initramfs -uk all
- Выполнить очистку кеша страниц оперативной памяти: sudo sh -c "echo 3 > /proc/sys/vm/drop_caches"
- Выполнить перезагрузку PT NGFW: sudo reboot
Дополнительная информация:
См. Рекомендации Astra Linux по отключению уязвимого модуля.
При возникновении дополнительных вопросов вы можете обратиться в службу технической поддержки PT NGFW или к Вашему персональному менеджеру.