JFrog veröffentlicht Details zu „DirtyClone“: Linux-Kernel-Lücke ermöglicht Root-Rechte

Zusammenfassung

JFrog hat technische Details und einen Proof of Concept zu einer schwerwiegenden Linux-Kernel-Schwachstelle veröffentlicht, über die lokale Nutzer ihre Rechte bis auf Root ausweiten können. Die Lücke wird als CVE-2026-43503 mit einem CVSS-Wert von 8,8 geführt und trägt den Namen „DirtyClone“. Beoben wurde sie am 24. Mai behoben, kurz nachdem sie an die Maintainer des Linux-Kernels gemeldet worden war. Nach Angaben von JFrog handelt es sich um eine Variante von DirtyFrag, auch als Copy Fail 2 bekannt, und Fragnesia, die beide bereits Mitte Mai geschlossen wurden. Gemeinsam ist diesen Fehlern laut JFrog, dass sie den Linux-Kernel in einem zentralen Bereich des Netzwerk-Stacks treffen und auf fehlerhaftem Umgang mit gemeinsam genutztem Seitencache in Socket-Puffern beruhen. Betroffen sind laut dem Unternehmen populäre Linux-Distributionen wie Debian, Fedora und Ubuntu, sofern sie nicht privilegierte User-Namespaces aktivieren. In betroffenen Kernel-Versionen kann jeder lokale Nutzer mit der Berechtigung CAP_NET_ADMIN Root-Rechte erlangen.

JFrog beschreibt DirtyClone als Teil einer ganzen Fehlerfamilie rund um den Linux-Kernel. Neben DirtyFrag und Fragnesia verweist das Unternehmen auf Ähnlichkeiten zu Dirty Pipe, einer 2022 veröffentlichten Kernel-Schwachstelle. Die nun offengelegte Lücke sitzt wie ihre Verwandten im Kern des Netzwerk-Stacks und hängt damit zusammen, wie Socket-Puffer, also skb, auf gemeinsam genutzten Speicher des Seitencaches verweisen.

Laut JFrog lassen sich diese Speicherfehler über kryptografische In-Place-Transformationen in verschiedenen Subsystemen ausnutzen. Das Unternehmen spricht von einem „breiteren Ausnutzungsmuster, das mehrere Verarbeitungswege von skb betrifft und zeigt, dass das zugrunde liegende Angriffsprimitive nicht auf einen einzelnen verwundbaren Codepfad beschränkt ist“.

Im Kern entstehe das Problem, weil der Kernel den Seitencache für ausführbare Dateien und normale Dateien nicht sauber von Paketdaten trennt, die über Zero-Copy-Pfade verarbeitet werden. Kommen dazu In-Place-Operationen wie Ver- und Entschlüsselung, die in denselben Puffer zurückschreiben, kann der Kernel laut JFrog Speicher verändern, der semantisch weiterhin an eine Datei gebunden ist. Die Folge ist eine direkte Beschädigung dateigestützter Daten im Speicher.

JFrog erläutert auch die bereits veröffentlichten Korrekturen innerhalb dieser Fehlerreihe. Der Fix für DirtyFrag setzt demnach ein Metadaten-Flag für per Splice verarbeitete UDP-Pakete, damit dateigestützte Speicherseiten nicht direkt verändert werden können. Der Patch für Fragnesia soll sicherstellen, dass dieses Flag auch funktionsübergreifend erhalten bleibt.

Gegen DirtyClone schützt laut JFrog ein Update auf Linux-Kernel v7.1-rc5. Geschützt seien nur Kernel, die die vollständige Kette der Korrekturen für die DirtyFrag-Familie enthalten. Systeme, die für die ursprünglichen Schwachstellen CVE-2026-43284 und CVE-2026-43500 gar nicht gepatcht wurden, seien weiterhin breit angreifbar. Verwundbar bleiben nach Angaben des Unternehmens außerdem Mainline-, Stable- oder Long-Term-Support-Zweige, die zwar erste Gegenmaßnahmen eingespielt haben, aber die nachfolgenden Patches für CVE-2026-46300 und CVE-2026-43503 noch nicht enthalten.

Als betroffen nennt JFrog verbreitete Linux-Distributionen wie Debian, Fedora und Ubuntu, wenn dort nicht privilegierte User-Namespaces aktiviert sind. Jeder lokale Nutzer mit der Fähigkeit CAP_NET_ADMIN auf einem Server oder Gerät mit anfälliger Kernel-Version könne Root-Rechte erlangen. Besonders hoch sei das Risiko nach Einschätzung des Unternehmens in Multi-Tenant-Cloud-Umgebungen, Kubernetes-Clustern und containerisierten Workloads.

JFrog veröffentlicht Details zu „DirtyClone“: Linux-Kernel-Lücke ermöglicht Root-Rechte

Ähnliche Artikel

Neueste Artikel