Dirty Frag setzt sich aus zwei Schwachstellen zusammen, die unter CVE-2026-43284 und CVE-2026-43500 geführt werden. Red Hat bewertete beide mit einem CVSS-Wert von 7,8 und stufte ihre Auswirkung als „Important" ein. Nach Angaben von Kim in einem GitHub-Beitrag funktioniert der Angriff, indem zwei separate Kernel-Fehler verkettet werden: die Schwachstelle „xfrm-ESP Page-Cache Write" und die Schwachstelle „RxRPC Page-Cache Write". Auf diesem Weg lassen sich geschützte Systemdateien unautorisiert im Speicher verändern und Rechte ausweiten.
Kim zufolge gab Copy Fail den Anstoß für die Forschung, die schließlich zur Entdeckung von Dirty Frag führte. Dirty Frag betreffe nicht nur einen anderen Bereich des Kernels als Copy Fail oder Dirty Pipe, sondern habe auch eine größere Reichweite und sei daher wahrscheinlich gefährlicher. Der Bestandteil „xfrm-ESP Page-Cache Write" teile dieselbe Senke wie Copy Fail und erweitere die Fehlerklasse von Dirty Pipe und Copy Fail.
Besonders kritisch sei laut Kim, dass es sich um einen deterministischen Logikfehler handele, der nicht von einem Zeitfenster abhängt: Es sei keine Race Condition nötig, der Kernel stürze bei einem fehlgeschlagenen Exploit nicht ab, und die Erfolgsquote sei sehr hoch. Das bedeute auch, dass selbst Organisationen, die die Gegenmaßnahme gegen Copy Fail angewendet hätten, weiterhin angreifbar seien.
Kim testete den Exploit nach eigenen Angaben erfolgreich unter anderem auf Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 und Fedora 44. Red Hat bestätigte die Entdeckung und die Veröffentlichung des Exploits und beschrieb die technischen Hintergründe: Die Lücke beziehe sich auf zwei verschiedene Probleme in den Modulen IPsec ESP (esp4/esp6) und rxrpc des Linux-Kernels. IPsec stellt verschlüsselte Netzwerkkommunikation bereit und wird häufig für VPNs und Site-to-Site-Tunnel verwendet, während das rxrpc-Modul das RxRPC-Protokoll umsetzt, das dem verteilten Netzwerkdateisystem Andrew File System (AFS) zugrunde liegt.
Wie Dirty Pipe und Copy Fail betrifft Dirty Frag Schwächen im Umgang des Kernels mit Schreibzugriffen auf den Page-Cache. Der Kernel hält Dateiinhalte zur Beschleunigung im RAM, und bestimmte Subsysteme führen direkt auf diesen Speicherseiten kryptografische oder Netzwerkoperationen aus. Dirty Frag missbraucht Fehler in diesen Operationen, um speichergestützte Datenstrukturen unzulässig zu verändern und Rechte bis auf Root-Ebene auszuweiten.
Die Linux Kernel Organization hat bereits einen Patch für CVE-2026-43284 veröffentlicht, der rasch eingespielt werden sollte; ein Patch für CVE-2026-43500 steht hingegen noch aus. Red Hat beschleunigt nach eigener Aussage die Bereitstellung von Korrekturen, Canonical will den Fix über die Kernel-Image-Pakete von Ubuntu ausliefern, und die SUSE-Administratoren bereiten Kernel-Updates sowie Livepatches vor.
Bis dahin nennen Microsoft Defender und Red Hat mehrere Übergangsmaßnahmen: das Deaktivieren ungenutzter rxrpc-Kernelmodule, das Prüfen, ob esp4, esp6 und zugehörige xfrm/IPsec-Funktionen sicher vorübergehend abgeschaltet werden können, das Einschränken unnötigen lokalen Shell-Zugriffs, das Härten containerisierter Workloads sowie eine verstärkte Überwachung auf auffällige Rechteausweitungen. Red Hat empfiehlt zudem unter anderem, SSH zu deaktivieren, SELinux im Enforcing-Modus zu betreiben, Workloads als Nicht-Root auszuführen und den Zugriff auf „oc debug" auf vertrauenswürdige Cluster-Administratoren zu beschränken. Da das Sperren eines einzelnen Zugangswegs andere lokale Zugänge nicht ausschließe, sollten betroffene Organisationen das Einspielen der Kernel-Patches priorisieren, sobald die Hersteller sie bereitstellen.