Neue Linux-Schwachstelle „Fragnesia": Root-Rechte durch Manipulation des Kernel-Page-Cache

Fragnesia nutzt laut Bowling einen Logikfehler im XFRM-ESP-in-TCP-Subsystem des Linux-Kernels aus, um beliebige Bytes in den Page-Cache schreibgeschützter Dateien zu schreiben – und zwar, wie er betont, ohne dass dafür eine Race-Condition erforderlich ist. Der von ihm bereitgestellte Proof-of-Concept-Exploit erzeugt ein Schreibprimitiv im Kernel und korrumpiert damit den Page-Cache-Speicher der Datei /usr/bin/su, um eine Shell mit Root-Rechten zu öffnen.

Bowling rechnet die Schwachstelle der Klasse „Dirty Frag" zu, die kürzlich offengelegt wurde. „Fragnesia gehört zur Schwachstellenklasse Dirty Frag. Es handelt sich um einen eigenständigen Fehler in ESP/XFRM, der von Dirty Frag getrennt ist und einen eigenen Patch erhalten hat. Er liegt jedoch auf derselben Angriffsfläche, und die Gegenmaßnahme ist dieselbe wie bei Dirty Frag", erklärte er.

Anders als Fragnesia verkettet Dirty Frag zwei separate Kernel-Fehler, um Schutzdateien im Speicher zu verändern und so eine Rechteausweitung zu erreichen: die xfrm-ESP-Page-Cache-Write-Schwachstelle (CVE-2026-43284) und ein RxRPC-Page-Cache-Write-Problem (CVE-2026-43500). Für beide Lücken existiert ein öffentlich verfügbarer Proof-of-Concept-Exploit, mit dem lokale Angreifer auf gängigen Linux-Distributionen Root-Rechte erlangen können.

Betroffen sind alle Linux-Kernel, die vor dem 13. Mai 2026 veröffentlicht wurden. Linux-Nutzern wird empfohlen, die für ihre Umgebung passenden Kernel-Updates so schnell wie möglich einzuspielen. Wer nicht sofort patchen kann, soll dieselbe Gegenmaßnahme wie bei Dirty Frag anwenden und die verwundbaren Kernel-Module entfernen. Zu beachten ist allerdings, dass dies verteilte AFS-Netzwerkdateisysteme und IPsec-VPNs unbrauchbar macht.

Die Offenlegung von Fragnesia fällt in eine Zeit, in der die Distributionen noch Patches für „Copy Fail" ausrollen – eine weitere Schwachstelle zur Rechteausweitung, die bereits aktiv ausgenutzt wird. Die US-Behörde CISA nahm Copy Fail am 1. Mai in ihren Katalog ausgenutzter Schwachstellen auf und verpflichtete die Bundesbehörden, ihre Linux-Systeme binnen zwei Wochen – bis zum 15. Mai – abzusichern. Diese Art von Schwachstelle sei „ein häufiger Angriffsvektor für böswillige Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", warnte die Behörde.

Bereits im April hatten Linux-Distributionen mit „Pack2TheRoot" eine weitere Schwachstelle zur Erlangung von Root-Rechten im PackageKit-Daemon geschlossen, die ein Jahrzehnt lang unentdeckt geblieben war.