Details sind über eine neue, ungepatchte lokale Schwachstelle zur Privilegieneskalation (LPE) bekannt geworden, die den Linux-Kernel betrifft. **Dirty Frag** wird als Nachfolger von **Copy Fail** (CVE-2026-31431, CVSS-Score: 7.8) beschrieben, einer kürzlich bekannt gewordenen LPE-Schwachstelle im Linux-Kernel, die seitdem aktiv ausgenutzt wird. Die Schwachstelle wurde am 30. April 2026 an die Linux-Kernel-Maintainer gemeldet. "Dirty Frag ist eine Schwachstelle (Klasse), die durch die Verkettung der xfrm-ESP Page-Cache Write-Schwachstelle und der RxRPC Page-Cache Write-Schwachstelle Root-Privilegien auf den meisten Linux-Distributionen erlangt", sagte der Sicherheitsforscher Hyunwoo Kim (@v4bel) in einem Bericht. "Dirty Frag ist ein Fall, der die Bug-Klasse erweitert, zu der [Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html) und [Copy Fail](https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html) gehören. Da es sich um einen deterministischen Logikfehler handelt, der nicht von einem Zeitfenster abhängt, ist keine Race Condition erforderlich, der Kernel stürzt bei einem fehlgeschlagenen Exploit nicht ab und die Erfolgsquote ist sehr hoch." Die Schwachstelle hat derzeit keine CVE-Kennung, da das Embargo gebrochen wurde, nachdem detaillierte Informationen und ein Exploit für die xfrm-ESP Page-Cache Write-Schwachstelle öffentlich von einem unabhängigen Dritten veröffentlicht wurden. ### Auswirkungen Die erfolgreiche Ausnutzung des Fehlers könnte es einem nicht privilegierten lokalen Benutzer ermöglichen, auf den meisten Linux-Distributionen, einschließlich Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 und Fedora 44, erhöhte Root-Zugriffsberechtigungen zu erlangen. Laut dem Forscher wurde die xfrm-ESP Page-Cache Write-Schwachstelle in einem [Commit im Quellcode](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3) im Januar 2017 eingeführt, während die RxRPC Page-Cache Write-Schwachstelle im Juni 2023 [eingeführt wurde](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a). Interessanterweise war derselbe Commit vom 17. Januar 2017 die Ursache für einen weiteren Pufferüberlauf (CVE-2022-27666, CVSS-Score: 7.8), der verschiedene Linux-Distributionen betraf. XFRM-ESP Page-Cache Write, das im IPSec (xfrm)-Subsystem verwurzelt ist, bietet Angreifern ein 4-Byte-Speichermodul ähnlich wie Copy Fail und überschreibt einen kleinen Teil des Page-Caches des Kernels. Der Exploit erfordert jedoch, dass der nicht privilegierte Benutzer einen Namespace erstellt, ein Schritt, der von **Ubuntu** über [AppArmor](https://ubuntu.com/server/docs/how-to/security/apparmor) blockiert wird. In einer solchen Umgebung kann xfrm-ESP Page-Cache Write nicht ausgelöst werden. Hier kommt der zweite Exploit, RxRPC Page-Cache Write, ins Spiel. "RxRPC Page-Cache Write erfordert keine Berechtigung zur Erstellung eines Namespace, aber das rxrpc.ko-Modul ist selbst nicht in den meisten Distributionen enthalten", erklärte Kim. "Zum Beispiel liefert die Standardkonfiguration von RHEL 10.1 kein rxrpc.ko. Unter Ubuntu ist das rxrpc.ko-Modul jedoch standardmäßig geladen." "Durch die Verkettung der beiden Varianten decken sich die blinden Flecken gegenseitig ab. In einer Umgebung, in der die Erstellung von User-Namespaces erlaubt ist, läuft der ESP-Exploit zuerst. Umgekehrt, unter Ubuntu, wo die Erstellung von User-Namespaces blockiert ist, aber rxrpc.ko kompiliert ist, funktioniert der RxRPC-Exploit." **CloudLinx** sagte in einem eigenen [Advisory](https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update), dass der Fehler im "ESP-in-UDP MSG_SPLICE_PAGES no-COW fast path" liegt und über die XFRM User Netlink-Schnittstelle erreichbar ist. "Der Fehler liegt in den In-Place-Entschlüsselungs-Fast-Paths von esp4, esp6 und rxrpc: Wenn ein Socket-Buffer seitenbasierte Fragmente trägt, die nicht exklusiv vom Kernel besessen werden (z. B. Pipe-Seiten, die über splice(2)/sendfile(2)/MSG_SPLICE_PAGES angehängt sind), entschlüsselt der Empfangspfad direkt über diese extern gesicherten Seiten und legt Klartext frei oder beschädigt ihn, auf den ein nicht privilegierter Prozess noch eine Referenz hält", sagte **AlmaLinux** [hier](https://almalinux.org/blog/2026-05-07-dirty-frag/). Ähnliche Advisories wurden von anderen Linux-Distributionen veröffentlicht - * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/) * Debian ([xfrm-ESP Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43284), [RxRPC Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43500)) * [Red Hat Enterprise Linux](https://access.redhat.com/security/vulnerabilities/RHSB-2026-003) * [Rocky Linux](https://forums.rockylinux.org/t/dirty-frag-vulnerability-reported-for-linux-kernel-cve-2026-43284-cve-2026-43500/20430) * [SUSE](https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/) Die Dringlichkeit wird durch die Veröffentlichung eines funktionierenden Proof-of-Concept (PoC) noch erhöht, der mit einem einzigen Befehl zur Erlangung von Root-Rechten ausgenutzt werden kann. Bis Patches verfügbar sind, wird empfohlen, die Module esp4, esp6 und rxrpc zu blockieren, damit sie nicht geladen werden können - bash sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" Es ist erwähnenswert, dass Dirty Frag, obwohl es einige Überschneidungen mit Copy Fail aufweist, unabhängig davon ausgenutzt werden kann, ob das algif_aead-Modul des Linux-Kernels aktiviert ist oder nicht. "Beachten Sie, dass Dirty Frag unabhängig davon ausgelöst werden kann, ob das algif_aead-Modul verfügbar ist", sagte der Forscher. "Mit anderen Worten, selbst auf Systemen, auf denen die öffentlich bekannte Copy Fail-Minderung (algif_aead-Blockierung) angewendet wird, ist Ihr Linux immer noch anfällig für Dirty Frag." ### Update Die xfrm-ESP Page-Cache Write-Schwachstelle wurde mit [CVE-2026-43284](https://nvd.nist.gov/vuln/detail/CVE-2026-43284) identifiziert und im Mainline unter [f4c50a4034e6](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f4c50a4034e6) gepatcht. Die RxRPC Page-Cache Write-Schwachstelle wurde mit der Kennung CVE-2026-43500 identifiziert, obwohl zum Zeitpunkt der Erstellung kein Patch verfügbar ist. "Auf Hosts, die keine Container-Workloads ausführen, ermöglicht die Schwachstelle einem lokalen Benutzer die Erhöhung der Privilegien auf den Root-Benutzer", sagte **Ubuntu** [hier](https://ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available). "In Container-Bereitstellungen, die beliebige Workloads von Drittanbietern ausführen können, kann die Schwachstelle zusätzlich zu lokalen Privilegieneskalationen auf dem Host Container-Escape-Szenarien erleichtern." In einem Advisory beschrieb **Google**-eigene **Wiz** Dirty Frag als eine Schwachstellenkette, die zwei Page-Cache-Write-Primitive im Linux-Kernel kombiniert: eine im xfrm-ESP (IPsec)-Subsystem und eine andere in RxRPC. "Beide Fehler ermöglichen die Modifikation von Page-Cache-gestütztem Speicher, der nicht ausschließlich vom Kernel besessen wird, was die Beschädigung sensibler Dateien und letztendlich die Privilegieneskalation ermöglicht", sagten die Forscher Merav Bar und Rami McCarthy [hier](https://www.wiz.io/blog/dirty-frag-linux-kernel-local-privilege-escalation-via-esp-and-rxrpc). "Im Gegensatz zu Exploits, die auf Race Conditions basieren, ist diese Bug-Klasse deterministisch und sehr zuverlässig, ähnlich wie frühere Schwachstellen wie Copy Fail und Dirty Pipe." "Um diesen Exploit durchzuführen, benötigt ein Angreifer zwei Dinge: Zugriff auf bestimmte anfällige Kernel-Schnittstellen und die Fähigkeit, Page-gestützte Puffer zu manipulieren (z. B. über splice()-bezogene Pfade). Es gibt jedoch ein erhebliches Hindernis: Der Exploit erfordert normalerweise Systemberechtigungen auf hoher Ebene, wie CAP_NET_ADMIN. Das bedeutet, dass die Ausnutzung in gehärteten Container-Umgebungen (z. B. Kubernetes mit Standard-Seccomp-Profilen) weniger wahrscheinlich ist." ### Begrenzte Ausnutzung in freier Wildbahn beobachtet **Microsoft** gab an, derzeit begrenzte Aktivitäten in freier Wildbahn zu beobachten, um Privilegieneskalationen mit dem Befehl "su" (auch bekannt als substitute user) zu erreichen, was laut dem Unternehmen "auf Techniken hindeuten kann, die mit 'Dirty Frag' oder '[Copy Fail](https://kb.cert.org/vuls/id/260001)' verbunden sind". "Die Kampagne zeigt einen sequenziellen Angriffszeitplan, bei dem eine externe Verbindung SSH-Zugriff erhält und eine interaktive Shell startet, gefolgt vom Staging und der Ausführung einer ELF-Binärdatei (./update), die sofort eine Privilegieneskalation über 'su' auslöst", fügte **Microsoft** [hier](https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/) hinzu. Nach Erlangung von erhöhten Zugriffsberechtigungen wurden die unbekannten Bedrohungsakteure dabei beobachtet, eine GLPI LDAP-Authentifizierungsdatei zu modifizieren, Erkundungen im GLPI-Verzeichnis und der Systemkonfiguration durchzuführen und ein Exploit-Artefakt zu inspizieren. Dieser Schritt wird gefolgt von Angreifern, die auf sensible Daten zugreifen und mit mehreren PHP-Sitzungsdateien interagieren, einschließlich del