„Dirty Frag“: Linux-Lücken verschaffen root-Rechte

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Mit „Dirty Frag“ wird die dritte Rechteausweitungslücke (respektive Kombination von Lücken) innerhalb von zwei Wochen bekannt, durch die Angreifer ihre Rechte in den meisten Linux-Distributionen ausweiten können. Da offenbar einige Beteiligte zu früh Informationen veröffentlicht haben, sah sich der Entdecker Hyunwoo Kim (X-Handle @v4bel) dazu genötigt, die Lücken jetzt öffentlich zu machen – ohne dass Updates für betroffene Linux-Distributionen oder ein CVE-Schwachstelleneintrag bereitstünden.

Das schreibt er im GitHub-Projekt zur Schwachstellenkombination „Dirty Frag“. Dort führt er eine Verkettung zweier Schwachstellen vor. Ein vollständiger Deepdive erörtert sie im Detail. Es handelt sich um Lücken, die am Ende den Page-Cache von Dateien im Arbeitsspeicher manipulieren, auf die User lediglich Leserechte haben, etwa „/etc/passwd“ oder „/usr/bin/su“. Bei nachfolgenden Zugriffen verwendet Linux die veränderten Einträge aus dem RAM, die weiterreichende Rechte und am Ende root-Zugriff verschaffen. Das erinnert sehr an die „Copy Fail“ genannte Schwachstelle. Kim erklärt, dass das auch der Ausgangspunkt für seine Schwachstellensuche war. Um bestimmte Einschränkungen in Linux-Distributionen zu umschiffen, die einen Exploit verhindern würden, verkettet er zudem gleich zwei Sicherheitslücken. Auf Systemen, die durch Blacklisten des Moduls algif_aead gegen „Copy Fail“ abgesichert wurden, funktioniert „Dirty Frag“ dennoch.

Die Lücken betreffen xfrm-ESP und RxRPC, die beide eine Page-Cache-Schreib-Schwachstelle aufweisen. Kim hat die Schwachstellen unter mehreren Distributionen erfolgreich getestet und damit root-Rechte erlangt: Ubuntu 24.04.4 (Kernel 6.17.0-23-generic), RHEL 10.1 (Kernel 6.12.0-124.49.1.el10_1.x86_64), openSUSE Tumbleweed (Kernel 7.0.2-1-default), CentOS Stream 10 (Kernel 6.12.0-224.el10.x86_64), AlmaLinux 10 (Kernel 6.12.0-124.52.3.el10_1.x86_64) sowie Fedora 44 (mit Kernel 6.19.14-300.fc44.x86_64).

Gegenmaßnahme: Module entfernen

Da die Distributionen noch keine Zeit hatten, aktualisierte Kernel zu veröffentlichen, schreibt Kim, können sich Admins mit dem Entfernen der verwundbaren Module behelfen. Er nennt den Befehl

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Kim schlägt im Deepdive zudem einen Quellcode-Patch vor, der das Problem lösen soll. Es empfiehlt sich, auf offizielle Kernel-Updates der jeweiligen Distribution zu warten. Für die ESP-Komponente wurde am 7. Mai 2026 bereits ein Patch in den Upstream-netdev-Tree gemergt; für RxRPC steht ein Upstream-Patch noch aus.

Es handelt sich um die dritte namhafte Rechteausweitungslücke, die in den vergangenen zwei Wochen gemeldet wurde. Vor etwa zwei Wochen wurde die vom Telekom-Security-Team aufgedeckte Lücke „Pack2TheRoot“ (CVE-2026-41651) bekannt, die root-Rechte in mehreren Linux-Distributionen verschafft. Am Ende vergangener Woche kam die „Copy Fail“-Sicherheitslücke hinzu, die inzwischen sogar in freier Wildbahn missbraucht wird. Wer nun glaubt, das sei ein Linux-spezifisches Problem – mitnichten. Seit drei Wochen klafft etwa die Zero-Day-Lücke „RedSun“ offen in Windows, ohne dass Microsoft Anstalten macht, einen Patch dagegen auszuliefern. Auch diese Schwachstellen – insgesamt haben sich auch da drei angesammelt, neben „RedSun“ auch „UnDefend“ und „BlueHammer“ – ermöglichen die Rechteausweitung und werden bereits von bösartigen Akteuren missbraucht.

(dmk)