„Dirty Frag“: Linux-Lücken verschaffen root-Rechte

Mit „Dirty Frag“ wird die dritte Rechteausweitungslücke (respektive Kombination von Lücken) innerhalb von zwei Wochen bekannt, durch die Angreifer ihre Rechte in den meisten Linux-Distributionen ausweiten können. Da offenbar einige Beteiligte zu früh Informationen veröffentlicht haben, sah sich der Entdecker Hyunwoo Kim (X-Handle @v4bel) dazu genötigt, die Lücken jetzt öffentlich zu machen – ohne dass Updates für betroffene Linux-Distributionen oder ein CVE-Schwachstelleneintrag bereitstünden.

Das schreibt er im GitHub-Projekt zur Schwachstellenkombination „Dirty Frag“. Dort führt er eine Verkettung zweier Schwachstellen vor. Ein vollständiger Deepdive erörtert sie im Detail. Es handelt sich um Lücken, die am Ende den Page-Cache von Dateien im Arbeitsspeicher manipulieren, auf die User lediglich Leserechte haben, etwa „/etc/passwd“ oder „/usr/bin/su“. Bei nachfolgenden Zugriffen verwendet Linux die veränderten Einträge aus dem RAM, die weiterreichende Rechte und am Ende root-Zugriff verschaffen. Das erinnert sehr an die „Copy Fail“ genannte Schwachstelle. Kim erklärt, dass das auch der Ausgangspunkt für seine Schwachstellensuche war. Um bestimmte Einschränkungen in Linux-Distributionen zu umschiffen, die einen Exploit verhindern würden, verkettet er zudem gleich zwei Sicherheitslücken. Auf Systemen, die durch Blacklisten des Moduls algif_aead gegen „Copy Fail“ abgesichert wurden, funktioniert „Dirty Frag“ dennoch.

Die Lücken betreffen xfrm-ESP und RxRPC, die beide eine Page-Cache-Schreib-Schwachstelle aufweisen. Kim hat die Schwachstellen unter mehreren Distributionen erfolgreich getestet und damit root-Rechte erlangt: Ubuntu 24.04.4 (Kernel 6.17.0-23-generic), RHEL 10.1 (Kernel 6.12.0-124.49.1.el10_1.x86_64), openSUSE Tumbleweed (Kernel 7.0.2-1-default), CentOS Stream 10 (Kernel 6.12.0-224.el10.x86_64), AlmaLinux 10 (Kernel 6.12.0-124.52.3.el10_1.x86_64) sowie Fedora 44 (mit Kernel 6.19.14-300.fc44.x86_64).

Gegenmaßnahme: Module entfernen

Da die Distributionen noch keine Zeit hatten, aktualisierte Kernel zu veröffentlichen, schreibt Kim, können sich Admins mit dem Entfernen der verwundbaren Module behelfen. Er nennt den Befehl

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Kim schlägt im Deepdive zudem einen Quellcode-Patch vor, der das Problem lösen soll. Es empfiehlt sich, auf offizielle Kernel-Updates der jeweiligen Distribution zu warten. Für die ESP-Komponente wurde am 7. Mai 2026 bereits ein Patch in den Upstream-netdev-Tree gemergt; für RxRPC steht ein Upstream-Patch noch aus.

Es handelt sich um die dritte namhafte Rechteausweitungslücke, die in den vergangenen zwei Wochen gemeldet wurde. Vor etwa zwei Wochen wurde die vom Telekom-Security-Team aufgedeckte Lücke „Pack2TheRoot“ (CVE-2026-41651) bekannt, die root-Rechte in mehreren Linux-Distributionen verschafft. Am Ende vergangener Woche kam die „Copy Fail“-Sicherheitslücke hinzu, die inzwischen sogar in freier Wildbahn missbraucht wird. Wer nun glaubt, das sei ein Linux-spezifisches Problem – mitnichten. Seit drei Wochen klafft etwa die Zero-Day-Lücke „RedSun“ offen in Windows, ohne dass Microsoft Anstalten macht, einen Patch dagegen auszuliefern. Auch diese Schwachstellen – insgesamt haben sich auch da drei angesammelt, neben „RedSun“ auch „UnDefend“ und „BlueHammer“ – ermöglichen die Rechteausweitung und werden bereits von bösartigen Akteuren missbraucht.

(dmk)