Phalanx-CCS/fragnesia_check
GitHub: Phalanx-CCS/fragnesia_check
针对 Linux Fragnesia(XFRM ESP-in-TCP)Page Cache 破坏型本地提权漏洞的多层检测与缓解建议 Bash 脚本。
Stars: 1 | Forks: 0
# fragnesia_check.sh — Phalanx CCS 漏洞评估
**针对 Fragnesia (Dirty Frag 家族) 的 Linux 本地提权 (LPE) 漏洞检测脚本**
## 📋 描述
`fragnesia_check.sh` 是一个综合性的 Bash 脚本,旨在评估 Linux 系统是否存在 **Fragnesia** 漏洞。该漏洞是一个针对 XFRM ESP-in-TCP 子系统的 Page Cache 破坏型本地提权 (LPE) 漏洞利用。
该脚本执行多层检查,包括内核构建日期、已加载模块、模块黑名单、用户命名空间限制、AppArmor 策略、内核配置等。
**CVE/补丁参考**:
补丁于 **2026-05-13** 合并 — [netdev 邮件列表](https://lists.openwall.net/netdev/2026/05/13/79)
## ✨ 特性
- **内核构建日期分析** — 检测当前运行的内核是在补丁发布之前还是之后编译的
- **模块状态检查** — 验证 `esp4`、`esp6` 或 `rxrpc` 是否已加载
- **模块黑名单验证** — 检查 `/etc/modprobe.d/` 中的加固配置
- **用户命名空间控制** — 评估 `unprivileged_userns_clone` 和 `max_user_namespaces`
- **AppArmor 集成** — 检查 Ubuntu 特有的非特权用户命名空间限制
- **内核配置检查** — 审查相关的 XFRM/ESP 编译时选项
- **补丁指示器检测** — 查找修复程序的运行时指示器
- **入侵后指标检查** — 检查是否存在已被入侵的迹象(例如,`/usr/bin/su` 异常)
- **清晰的彩色输出** 并附带结论总结
## 🛠 要求
- Bash
- 标准工具:`uname`、`lsmod`、`sysctl`、`grep`、`date`、`stat`
- **建议**:以 root 权限 (`sudo`) 运行,以获取完整的模块和 sysctl 可见性
## 📥 安装
# 克隆仓库
git clone https://github.com/Phalanx-CCS/fragnesia_check.git
cd fragnesia_check
# 赋予执行权限
chmod +x fragnesia_check.sh
# 运行检查脚本
sudo ./fragnesia_check.sh
🚀 用法
# 基本用法
sudo ./fragnesia_check.sh
# 或者不使用 sudo(检查项有限)
./fragnesia_check.sh
示例输出
该脚本会生成一份详细的报告,并在末尾给出明确的结论:
```
NOT VULNERABLE — All checks passed
LIKELY VULNERABLE — Critical conditions met
PARTIAL RISK — Some mitigations missing
```
🔒 缓解建议
如果脚本报告存在漏洞,请立即采取以下措施:
```
Upgrade to a kernel built after 2026-05-13
Blacklist vulnerable modules:
sudo bash -c 'cat > /etc/modprobe.d/dirtyfrag.conf << EOF
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
EOF'
Disable unprivileged user namespaces (if appropriate)
Drop page cache if compromise is suspected:
echo 1 | sudo tee /proc/sys/vm/drop_caches
```
⚠️ 免责声明
此工具仅用于防御性安全评估。它不包含任何漏洞利用代码。
Phalanx CCS 及作者对因使用本脚本而导致的任何误用或损坏不承担责任。
📝 作者
```
Author: d_0_4 (@ Phalanx CCS)
Version: 1.0.0
```
📄 许可证
本项目基于 MIT 许可证授权 — 详情请参阅 LICENSE 文件。
为 Linux 安全社区倾注 ❤️ 打造
标签:0day挖掘, AppArmor, Claude, CVE检测, Dirty Frag, ESP-in-TCP, Fragnesia, LPE, Page Cache, Phalanx CCS, sysctl, Web报告查看器, XFRM, 内核安全, 内核模块, 协议分析, 安全渗透, 安全资源, 应用安全, 提权漏洞检查, 无线安全, 本地提权, 权限提升, 系统基线检查