Ubuntu CVE Fragnesia e Dirty Frag

thiago_rv · Maio 24, 2026, 4:47pm

Estou utilizando o Ubuntu Server 26.04 em uma placa Orange Pi.
Tenho diversos aplicativos de terceiros executando em containers Docker e fiquei preocupado com as recentes falhas de segurança do kernel.

O Debian e Fedora já disponibilizaram correções para as falhas Fragnesia e Dirty Frag.
O Ubuntu está demorando mais para liberar atualizações contendo esses ajustes.
O Ubuntu Server 26.04 permanece na versão 7.0.0-15 do kernel.

Tentei habilitar o Kernel HWE, porém sem sucesso.
Imagino que isso possa estar relacionado a alguma particularidade do kernel utilizado pela placa Orange Pi.

Tenho duas dúvidas e agradeceria qualquer ajuda:

Essa demora para disponibilizar correções é considerada normal na LTS, mesmo se tratando de falhas de segurança?
No portal de segurança do Ubuntu, as versões são organizadas por package (linux-hwe, linux-oem, linux-raspi…). Não encontrei uma categoria específica para ARM64. Nesse caso, o pacote correto seria apenas linux?

ARM64:
Linux 7.0.0-15-generic #15-Ubuntu SMP PREEMPT_DYNAMIC Wed Apr 22 15:54:12 UTC 2026 aarch64 GNU/Linux

x64:
Linux 7.0.0-15-generic #15-Ubuntu SMP PREEMPT_DYNAMIC Wed Apr 22 16:06:43 UTC 2026 x86_64 GNU/Linux

https://ubuntu.com/security/CVE-2026-43284

Winizinn02 · Maio 24, 2026, 4:53pm

@thiago_rv Bom dia!

Entendo sua preocupação, principalmente por estar rodando containers Docker e servidores. Vou tentar esclarecer esses pontos pra você.

1. Sobre a “demora” do Ubuntu em relação ao Debian/Fedora:

Sim, o Ubuntu está demorando mais, mas não é por descaso — é porque os patches de correção dessas falhas (Fragnesia e Dirty Frag) quebraram a conectividade de rede em dispositivos ARM, incluindo placas como a sua Orange Pi e Raspberry Pis. A Canonical está testando antes de lançar para não entregar uma atualização que inutilize sua placa. Então a demora, neste caso, é uma medida de segurança e estabilidade.

2. Sobre o pacote correto para ARM64:

Você está certo na sua suspeita. A organização do portal de segurança do Ubuntu é por pacote, não por arquitetura. No seu caso, o kernel é o linux-image-generic (pacote “linux”). O “generic” é o kernel principal do Ubuntu, que é compilado para várias arquiteturas (x64, ARM64, etc.) a partir da mesma base de código.

Por isso você não vê uma categoria “ARM64” separada — o mesmo pacote linux atende tanto seu Orange Pi quanto um PC x64. Quando o status no portal está “needs evaluation”, isso vale para todas as arquiteturas suportadas por aquele pacote.

3. O que fazer enquanto a correção oficial não chega?

Como medida temporária de segurança, você pode desabilitar os módulos de kernel vulneráveis manualmente. Execute os comandos abaixo no seu Orange Pi:

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/disable-dirtyfrag.conf

echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/disable-dirtyfrag.conf

echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/disable-dirtyfrag.conf

sudo update-initramfs -u -k all

Depois, descarregue os módulos já carregados:

sudo rmmod esp4 esp6 rxrpc 2>/dev/null

OBS: Se você utiliza VPN como StrongSwan (IPsec) ou protocolo AFS, esses comandos vão quebrar sua conexão VPN. Nesse caso, infelizmente só resta aguardar o kernel corrigido.

Quando a atualização oficial chegar, você pode reverter removendo o arquivo /etc/modprobe.d/disable-dirtyfrag.conf e rodando sudo update-initramfs -u novamente.

Qualquer dúvida, estamos aí!

thiago_rv · Maio 24, 2026, 11:49pm

Obrigado pela resposta!

Onde posso encontrar mais informações sobre esse problema?
”Os patches de correção dessas falhas (Fragnesia e Dirty Frag) quebraram a conectividade de rede em dispositivos ARM”

Winizinn02 · Maio 25, 2026, 12:54am

As minhas fontes:

Para acompanhar quando a correção chegar no Ubuntu, além de outros bugs, basta olhar no https://bugs.launchpad.net/ do próprio Ubuntu.