5月14日,奇安信(688561)发布《Linux Kernel Fragnesia本地权限提升漏洞(CVE-2026-46300)安全风险通告》,这是继4月29日的Copy Fail,与5月8日的Dirty Frag之后,两周内第三个被公开的Linux内核高危漏洞,也是全球Linux安全领域近期遭遇的“三连重击”。值得一提的是,奇安信(688561)椒图(服务器安全管理系统)早在5月7日发布的热补丁,不仅可拦截已知漏洞“Copy Fail”攻击,更可以“预见性”的拦截8日之后公布的“Dirty Frag”和Fragnesia两个新漏洞攻击,实现了对已知漏洞和未知漏洞的双重拦截。
三大漏洞接连来袭,Linux服务器安全面临严峻考验
Linux在服务器领域的统治地位,使得其每次内核漏洞出现时易造成安全危机。目前,超过90%的公有云工作负载运行在Linux虚拟机或容器上,AWS、Azure、GCP等主流云服务提供商的底层基础设施几乎全部基于Linux系统。从国外到国内,从金融、能源(850101)、政务到互联网、制造业等,Linux 支撑着全球关键业务系统的稳定运转,其安全直接关乎国家关键信息基础设施与企业核心数据安全(885942)。
回顾近年来Linux提权漏洞的演进脉络,不难发现其呈现“高频率、低门槛、快武器化”的趋势:2022年的Dirty Pipe(CVE-2022-0847)通过管道缓冲区管理缺陷可覆盖只读文件页实现本地提权;2023年的CVE-2023-0386允许非特权用户提升至Root(ROOT)并执行代码;2024年的CVE-2024-1086(netfilter nf_tables)在PoC公开后3至6个月内即被集成进攻击工具链;2025年全年Linux内核共披露486个安全漏洞。
而在2026年,短短两周内就接连爆出Copy Fail、Dirty Frag、Fragnesia等三大“高危”漏洞——其中Dirty Frag甚至在发现之初就因发现“撞车”而提前被公开披露,更加剧了安全团队的压力。
补丁洪流困境:企业缘何陷入“升级焦虑”?
在漏洞频发的态势下,企业安全团队的困境并非“愿不愿意修”,而是“修不过来、修不起、修完又来”。
首先是时间窗口的致命差距。攻击者的武器化速度以“天”计,而企业的平均修复周期(883436)却以“周”甚至“月”计。研究显示,88%的漏洞修复速度慢于其被利用的速度,例如Spring4Shell在公开前两天即遭利用,但企业平均需要266天才能完成修复。70%的IT团队每周在安全补丁上耗费超过6小时,几乎相当于每周耗费一个完整工作日。对于Copy Fail和Dirty Frag这样影响面广、利用门槛极低的漏洞而言,留给企业的决策和操作窗口极为紧迫。
其次是补丁洪流席卷而来,给安全团队造成严重压力。大型企业生产环境中的操作系统类型繁杂,Ubuntu、RHEL、CentOS、SUSE、麒麟等不同发行版及其子版本各有独立的补丁发布节奏。安全团队只能被动地等待每一个厂商逐一发布补丁,然后逐台测试、审批、部署。刚完成一轮补丁升级,下一个漏洞又接踵而至——对于同时面临Copy Fail、Dirty Frag、Fragnesia三重威胁的企业而言,这几乎意味着在一个维护窗口内要协调完成三个独立的内核升级。
最后是内核升级对业务连续性的致命冲击。传统的内核补丁部署方式要求操作系统重启才能生效。对于承载核心业务的金融交易系统、电信核心网、工业控制系统而言,任何计划外停机都可能导致严重的经济损失和业务中断。传统内核更新平均导致30至45分钟的服务中断。在云原生大规模部署场景下,逐台重启数百甚至数千台服务器的操作成本极高,且回滚流程复杂,运维团队往往面临“修与不修”的两难抉择。
椒图热补丁方案四大优势:化“两难”为“两全”
面对上述困境,奇安信(688561)椒图服务器安全管理系统率先发布的热补丁方案,提供了一个兼顾防护效果与业务连续性的解决路径。5月7日,奇安信(688561)椒图在业内率先发布了针对Linux Copy Fail提权漏洞的热补丁方案,无需重启操作系统和业务,即可拦截Copy Fail漏洞攻击。更值得一提的是,经验证该热补丁对5月8日发布的Dirty Frag和5月13日发布的Fragnesia提权漏洞仍然有效,实现了“前瞻性”的“一‘补’三连”。
这种驱动级的防护,相较于传统官方补丁修复模式,优势体现在以下四个维度:
其一,无需重启,即时生效。热补丁以内核模块形态动态加载,部署后即刻生效。它通过在内核关键函数路径上植入拦截逻辑,对漏洞利用路径进行精准阻断,从安全角度完全消除了内核升级导致的业务中断问题。与需要经历“计划停机—升级—重启—验证”全流程的传统补丁模式相比,热补丁从部署到生效的窗口大幅缩短。
其二,完整覆盖主流架构。椒图热补丁完整兼容X86_64和AARCH64架构,适配信创(886013)及非信创(886013)场景下的各类服务器环境,无论是传统数据中心内的物理服务器,还是K8s集群、云主机等云原生工作负载,均可统一覆盖。
其三,轻量化部署,操作简单。部署过程极简,管理员可通过椒图控制中心一键批量下发。在大规模集群场景下,数分钟即可完成全部节点的热补丁覆盖,大幅降低运维操作成本和安全风险暴露时间。
其四,对业务零干扰。热补丁仅针对漏洞利用路径进行阻断,不改变正常的系统调用逻辑,对SSH、TLS、LUKS等常规加密服务以及业务进程无任何影响。也就是说,在做到拦截效果的同时,将性能开销和兼容性风险降至最低。
椒图缘何能第一时间发布热补丁、甚至预防“未知漏洞”
热补丁技术的核心思想并非新概念。奇安信(688561)椒图产品经理认为,传统热补丁技术的难点并不在于“如何写补丁”,而在于“如何适配海量内核版本”。椒图能够在Copy Fail漏洞披露仅数日后即发布热补丁,防已知漏洞的同时还能防住两个未知漏洞,这要归功于团队在驱动软件和服务器安全两大领域的深厚积累。
第一是内核适配能力的绝对壁垒。椒图团队长时间积累了几千个操作系统内核版本的驱动适配经验,基本覆盖了客户侧绝大部分的内核版本和发行版组合。常规安全厂商即便写出补丁驱动逻辑,也很难在短时间内完成如此广泛的内核版本适配。这种适配能力的优势,来源于椒图产品从内核驱动层面进行服务器安全加固的长期实践:产品直接作用于操作系统内核,从驱动级层面提升操作系统内核安全能力,实现对攻击行为的底层阻断。
第二是检测与阻断的协同闭环。在发布热补丁之前,奇安信(688561)椒图已具备对此类漏洞利用行为的实时检测能力。其本地提权行为检测引擎无需更新特征库,默认即可检测Copy Fail等漏洞的利用行为,在检测基础上叠加热补丁阻断能力,形成了“实时检测+热补丁”的立体防护闭环。
第三是行业领导地位与实战化验证。奇安信(688561)在中国云安全及主机安全市场持续领跑。根据赛迪顾问(HK2176)发布的《2024-2025年中国云安全市场研究年度报告》,奇安信(688561)以明显优势连续七年蝉联中国云安全市场第一,并位居云主机安全、云安全管理平台细分市场第一。奇安信(688561)椒图作为基于CWPP框架打造的云主机安全核心解决方案,全面覆盖物理服务器、虚拟机、云主机及容器等多种云工作负载形态,兼容政务云、金融云等主流云环境及国产化操作系统。在实战攻防演习、重大活动保障、关基防护等实战场景中表现卓越,风险识别能力达到99%、安全防护能力达到88%。
结语
Copy Fail、Dirty Frag、Fragnesia的接连曝光,并非孤立的安全事件,而是Linux内核攻击面持续扩大这一长期趋势的缩影。当漏洞从“年更级”加速至“周更级”,当攻击脚本从上千行精缩到732字节,企业的安全防护策略也必须从“被动补漏洞”升级为“主动防攻击”。
依赖官方补丁并非唯一选项,也不应成为唯一的选项。奇安信(688561)椒图凭借“实时检测+热补丁”的立体防护方案,在行业率先实现了从风险感知到主动阻断的无缝衔接,为广大客户从驱动级层面提供了兼顾防护效果与业务连续性的综合安全方案。在内核漏洞高发的当下,这种既快又稳的防护路径,正因其充分体现了产品的领先性和实战化价值,成为越来越多企业的首选。
