Kritische Linux-Lücke Dirty Frag erfordert sofortige Patches

3 weeks ago 7

Das Muster kennt jeder Linux-Administrator: Eine kritische Kernel-Lücke wird vorzeitig öffentlich, der Exploit erscheint noch am gleichen Tag, und die Distributionen patchen im Eilverfahren. Genau das passierte am 8. Mai 2026 mit Dirty Frag (CVE-2026-43284 und CVE-2026-43500). Die verketteten Lücken betreffen alle Linux-Distributionen, auf denen ein lokaler Nutzer Zugang hat, von Cloud-Instanzen über CI/CD-Runner bis zu Entwicklungsmaschinen.

Das Wichtigste in Kürze

CVE-2026-43284 (CVSS 8.8) im ESP/IPsec-Subsystem und CVE-2026-43500 (CVSS 7.8) im RxRPC-Subsystem erlauben lokale Rechteausweitung auf Root
Unprivilegierte lokale Nutzer können Root-Zugriff erlangen, kein Angriff über das Netzwerk nötig
Embargo wurde am 7. Mai vorzeitig gebrochen, ein funktionierender Proof-of-Concept erschien gleichzeitig
Patches für Ubuntu, AlmaLinux, Debian und CloudLinux stehen ab dem 8. Mai 2026 bereit
Sofort-Workaround: Kernel-Module esp4, esp6 und rxrpc über /etc/modprobe.d/ deaktivieren

Was steckt hinter den zwei CVEs?

Offenes Vorhängeschloss mit getrenntem Bügel und „Root“-Anhänger auf Weiß

Dirty Frag ist eine verkettete Schwachstelle im Linux-Kernel, entdeckt vom unabhängigen Sicherheitsforscher Hyunwoo Kim. Die erste Lücke steckt im IPsec-ESP-Subsystem, das seit 2017 eine Fast-Path-Funktion enthält, die In-Place-Dekryption auf gemeinsam genutzten Socket-Buffer-Fragmenten durchführt. Das ermöglicht die kontrollierte Beschädigung des Page-Caches. Die zweite Lücke im RxRPC-Subsystem nutzt dasselbe Muster, das 2023 ergänzt wurde. Zusammen erlauben sie jedem unprivilegierten lokalen Nutzer, beliebige Page-Cache-Inhalte zu überschreiben und Root-Rechte zu erlangen.

Besonders problematisch: Dirty Frag ist deterministisch ausnutzbar. Kim berichtet eine sehr hohe Erfolgsrate ohne Timing-Fenster oder Race-Condition. Die eingesetzten Syscalls und Module (esp4, esp6, rxrpc) sind in jeder großen Linux-Distribution standardmäßig aktiv. Container-Umgebungen erben die Kernel-Module des Hosts und sind damit gleichermaßen betroffen.

Deterministische Kernel-Exploits ohne Timing-Fenster sind die gefährlichste Kategorie. Bei Dirty Frag braucht ein Angreifer keine Geduld, kein Trial-and-Error. Das macht die Lücke für jeden mit lokalem Zugriff zur zuverlässigen Eskalationsroute.“

— Markus Seyfferth, Chefredakteur Dr. Web

Warum der Embargo-Bruch die Lage verschärft hat

Kim hatte Dirty Frag verantwortungsvoll gemeldet und einen koordinierten Disclosure-Prozess vereinbart. Eine dritte Partei brach das Embargo am 7. Mai, bevor gepatchte Kernel-Pakete in allen Distributions-Repositories verfügbar waren. Der vollständige Analyse-Bericht und der Proof-of-Concept wurden noch am gleichen Tag publiziert. Das Zeitfenster zwischen öffentlichem Exploit und verfügbarem Patch ist das kritischste Intervall im Patch-Management. Der BSI-Cybersicherheitsmonitor 2026 zeigt, dass bereits jeder neunte Internetnutzer in Deutschland Opfer von Cyberkriminalität wurde, häufig durch verzögert gepatchte Systeme.

Was Administratoren jetzt konkret tun müssen

Ein braunes, gesprungenes Ei in orangefarbenem Becher mit Zettel „ROOT-ZUGRIFF ERTEILT“

Patches stehen für alle großen Distributionen bereit. Ubuntu veröffentlichte Korrekturen für alle aktiven Releases, AlmaLinux, Debian und CloudLinux folgten am 8. Mai. Update und Neustart sind der sichere Weg.

Für Systeme, auf denen ein Neustart nicht sofort möglich ist, lässt sich der Angriffsvektor durch das Deaktivieren der betroffenen Kernel-Module schließen:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null"

Container-Instanzen auf ungepatchten Hosts bleiben verwundbar, solange der Host-Kernel nicht aktualisiert ist. Auch scheinbar periphere Systeme sind gefährdet, wie die BSI-Warnung zur Ladeinfrastruktur zeigt.