„Dirty Frag": Neue Linux-Zero-Day-Lücke verschafft Root-Rechte auf allen großen Distributionen

Dirty Frag funktioniert, indem es zwei getrennte Kernel-Schwachstellen verkettet: die xfrm-ESP Page-Cache Write-Lücke und die RxRPC Page-Cache Write-Lücke. Über diese Kombination lassen sich geschützte Systemdateien unautorisiert im Speicher verändern, was zur Rechteausweitung führt.

Die Schwachstelle gehört nach Kims Darstellung zur selben Fehlerklasse wie die bekannten Lücken Dirty Pipe und Copy Fail, nutzt jedoch das Fragment-Feld einer anderen Kernel-Datenstruktur aus. „Wie schon bei der vorherigen Copy-Fail-Schwachstelle ermöglicht auch Dirty Frag eine sofortige Ausweitung auf Root-Rechte auf allen großen Distributionen und verkettet dabei zwei separate Schwachstellen", erklärte Kim.

Den besonderen Charakter des Fehlers beschreibt der Forscher so: „Dirty Frag ist ein Fall, der die Fehlerklasse von Dirty Pipe und Copy Fail erweitert. Da es sich um einen deterministischen Logikfehler handelt, der nicht von einem Zeitfenster abhängt, ist keine Race Condition nötig, der Kernel gerät bei einem fehlgeschlagenen Exploit nicht in Panik, und die Erfolgsquote ist sehr hoch."

Eine CVE-Kennung zur Nachverfolgung steht noch aus, und für die betroffenen Distributionen — neben anderen Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed und Fedora — gibt es bislang keine Korrekturen.

Kim veröffentlichte die vollständige Dokumentation samt PoC-Exploit im Einvernehmen mit den Distributionspflegern, nachdem eine vereinbarte Sperrfrist für die vollständige Offenlegung gebrochen worden war: Am 7. Mai 2026 hatte ein unbeteiligter Dritter den Exploit unabhängig veröffentlicht. „Da die Sperrfrist derzeit gebrochen ist, existiert kein Patch und keine CVE. Nach Rücksprache mit den Maintainern auf linux-distros@vs.openwall.org und auf deren Wunsch wird dieses Dirty-Frag-Dokument veröffentlicht", so Kim.

Zum Schutz können Anwender die anfälligen Kernel-Module esp4, esp6 und rxrpc entfernen. Allerdings macht dieser Schritt IPsec-VPNs und das verteilte Netzwerkdateisystem AFS unbrauchbar.

Die Offenlegung kommt zu einem Zeitpunkt, an dem die Distributionen noch Patches für „Copy Fail" ausrollen — eine weitere Lücke zur Ausweitung auf Root-Rechte, die inzwischen aktiv in Angriffen ausgenutzt wird. Die US-Behörde CISA nahm Copy Fail in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und verpflichtete Bundesbehörden, ihre Linux-Systeme binnen zwei Wochen, bis zum 15. Mai, abzusichern. „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für bösartige Cyberakteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", warnte die Behörde damals.

Bereits im April hatten die Linux-Distributionen eine weitere Root-Lücke namens Pack2TheRoot geschlossen, die rund ein Jahrzehnt nach ihrer Einführung im PackageKit-Daemon entdeckt worden war.