Dirty Frag

Kritisch Publiziert: 7. Mai 2026 Linux Kernel

Hohe Kritikalität: Dirty Frag ist eine hochkritische, frisch publizierte Schwachstelle im Linux-Kernel. Sie ermöglicht es einem lokalen, unprivilegierten Benutzer, deterministisch und ohne Race Condition Root-Rechte auf fast allen gängigen Linux-Distributionen zu erlangen.

Was ist passiert?

Die Lücke wurde am 7. Mai 2026 vom Sicherheitsforscher Hyunwoo Kim (@v4bel) öffentlich gemacht, nachdem ein vereinbartes Embargo vorzeitig durch einen Dritten gebrochen wurde. Sie vereint zwei separate Bugs zu einer Exploit-Kette:

xfrm-ESP Page-Cache Write – zugewiesen als CVE-2026-43284
RxRPC Page-Cache Write – reserviert als CVE-2026-43500

Wie funktioniert der Angriff?

Dirty Frag nutzt Zero-Copy-Pfade wie splice() oder sendfile(), über die ein unprivilegierter Prozess Pipe-Seiten in Socket-Puffer (skb) einhängt. Anschließend führt der Kernel im Empfangspfad eine In-Place-Verschlüsselung/Entschlüsselung auf diesen Seiten durch, obwohl sie nicht im exklusiven Besitz des Kernels sind.

Dadurch schreibt der Kernel effektiv in den Page-Cache von Dateien, für die der Angreifer eigentlich nur Leserechte hat – etwa Setuid-Binaries wie /usr/bin/su.

Das Ergebnis: Ein Angreifer kann gezielt 4 kontrollierte Bytes in den Page-Cache beliebiger lesbarer Dateien schreiben und daraus eine vollständige Rechteausweitung konstruieren. Da es sich um einen reinen Logikfehler handelt, ist kein Timing-Glück nötig, der Kernel stürzt bei einem Fehlschlag nicht ab, und die Erfolgsrate ist extrem hoch.

Betroffene Systeme

Die Schwachstelle betrifft nahezu alle Kernel-Versionen seit Januar 2017 (xfrm-ESP) bzw. Juni 2023 (RxRPC). Explizit getestet und verwundbar sind unter anderem:

Distribution	Status
Ubuntu 24.04.4	Verwundbar
Red Hat Enterprise Linux 10.1	Verwundbar
Fedora 44	Verwundbar
openSUSE Tumbleweed	Verwundbar
CentOS Stream 10 / AlmaLinux 10	Verwundbar

Ein öffentlicher Proof-of-Concept-Exploit existiert und kann mit einem einzigen Kommando Root-Rechte erlangen.

Was kann man tun?

Da noch nicht für alle Distributionen gepatchte Kernel verfügbar sind, empfiehlt sich als sofortige Übergangslösung das Blockieren der betroffenen Kernel-Module – sofern auf dem System kein IPsec (ESP) oder AFS (RxRPC) genutzt wird:

Sofortige Mitigation

sudo sh -c "printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Hinweis: Diese Maßnahme deaktiviert IPsec-VPNs im Kernel. Nur anwenden, wenn das System keine VPN-Tunnel betreibt.

Page-Cache leeren

Wenn ein Angriff nicht ausgeschlossen werden kann, sollte anschließend der Page-Cache geleert werden, um möglicherweise manipulierte Speicherseiten zu verwerfen:

sudo sh -c "echo 3 > /proc/sys/vm/drop_caches"

Kernel-Update

Für den ESP-Teil existiert mittlerweile ein Upstream-Patch (f4c50a4034e6), während für den RxRPC-Teil noch kein offizieller Patch in den Distributionen angekommen ist. Sobald das Update verfügbar ist:

sudo rm /etc/modprobe.d/dirtyfrag.conf
# Dann Kernel-Update installieren und Neustart durchführen

Einordnung

Dirty Frag steht in direkter Nachfolge zu Copy Fail (CVE-2026-31431) und erweitert die gleiche Bug-Klasse wie Dirty Pipe und Dirty COW. Wichtig: Selbst Systeme, die bereits die algif_aead-Mitigation gegen Copy Fail angewendet haben, bleiben gegen Dirty Frag verwundbar.