Dirty Frag verkörpert eine gefährliche Verschmelzung zweier Page-Cache-Schwachstellen: die xfrm-ESP-Lücke aus dem IPSec-Subsystem (erstmals 2017 eingebaut) und die RxRPC-Vulnerability (seit Juni 2023 im Code). Das Kernproblem liegt in der unsicheren Verarbeitung von verschlüsselten Datenpaketen, bei denen der Kernel direkt über extern verwaltete Speicherbereiche dekryptiert – ohne diese vorher als privat zu kennzeichnen.
Was Dirty Frag besonders tückisch macht: Sie bypassed bisherige Mitigationsmaßnahmen. Während Copy Fail durch das Deaktivieren des algif_aead-Moduls eingedämmt werden konnte, funktioniert dieser Workaround bei Dirty Frag nicht. Ein unprivilegierter Benutzer benötigt nur Zugang zum lokalen System – und kann dann mit einer einzigen Befehlszeile Root-Rechte erlangen.
Die Schwachstelle nutzt eine intelligente Kettenreaktion: Auf Systemen, die User-Namespaces zulassen, wird zunächst die xfrm-ESP-Variante aktiviert. Auf Ubuntu hingegen, wo User-Namespaces durch AppArmor blockiert sind, greift stattdessen die RxRPC-Variante. Dieser elegante Workaround zeigt, warum Dirty Frag bei unterschiedlichen Distributionen konsistent funktioniert.
Forscher Kim weist auf einen kritischen Punkt hin: Während das rxrpc.ko-Modul auf vielen Servern standardmäßig nicht geladen ist, ist es auf Ubuntu-Systemen aktiv – was diese Distributionen besonders anfällig macht. RHEL 10.1 wird nach Standardkonfiguration ohne rxrpc.ko ausgeliefert, bleibt aber durch die xfrm-ESP-Route verwundbar.
Bis zu verfügbaren Patches empfehlen Sicherheitsexperten und AlmaLinux, die Module esp4, esp6 und rxrpc auf die Blacklist zu setzen. Dies ist jedoch nur eine Übergangslösung – deutsche Administratoren sollten ihre Linux-Systeme sofort inventarisieren und Mitigationsmaßnahmen einleiten. Das BSI wird voraussichtlich zeitnah eine offizielle Warnung herausgeben. Unternehmen unter DSGVO sollten beachten, dass erfolgreiche Exploits zu Datenschutzverstößen führen könnten – mit Meldepflicht und möglichen Bußgeldern bis zu 4 % des Jahresumsatzes.