**Linux**-Distributionen veröffentlichen Patches, um eine neu entdeckte Kernel-Schwachstelle mit hoher Schweregrad zur Rechteausweitung zu beheben. Dieser Fehler ermöglicht es Angreifern, bösartigen Code mit Root-Rechten auszuführen. ### Fragnasia: Eine detaillierte Analyse Bekannt als **Fragnasia** und unter **CVE-2026-46300** verfolgt, rührt diese Sicherheitslücke von einem Logikfehler im Linux XFRM ESP-in-TCP-Subsystem her. Diese Schwachstelle ermöglicht es nicht privilegierten lokalen Angreifern, Root-Rechte zu erlangen, indem beliebige Bytes in den Kernel-Page-Cache von schreibgeschützten Dateien geschrieben werden. Der Leiter der Assurance bei **Zellic** entdeckte diese neue universelle lokale Schwachstelle zur Rechteausweitung und teilte einen Proof-of-Concept (PoC) Exploit. Der PoC demonstriert, wie ein Speicher-Schreib-Primitive im Kernel erreicht werden kann, das dann verwendet wird, um den Page-Cache-Speicher des `/usr/bin/su`-Binärprogramms zu beschädigen, was letztendlich auf anfälligen Systemen eine Shell mit Root-Rechten gewährt. Diese Schwachstelle wird innerhalb der **Dirty Frag**-Schwachstellenklasse klassifiziert, die kürzlich offengelegt wurde. Ähnlich wie Fragnasia verfügt Dirty Frag über einen öffentlich verfügbaren PoC-Exploit, den lokale Angreifer nutzen können, um Root-Rechte auf wichtigen Linux-Distributionen zu erlangen. Dirty Frag nutzt **CVE-2026-43284** und **CVE-2026-43500** aus. ### Technische Details "Fragnasia ist ein Mitglied der Dirty Frag-Schwachstellenklasse. Dies ist ein separater Fehler im ESP/XFRM von dirtyfrag, der [seinen eigenen Patch](https://lists.openwall.net/netdev/2026/05/13/79) erhalten hat. Er befindet sich jedoch in derselben Angriffsfläche und die Abhilfemaßnahme ist dieselbe wie für dirtyfrag", erklärte Bowling. "Er missbraucht einen Logikfehler im Linux XFRM ESP-in-TCP-Subsystem, um beliebige Byte-Schreibvorgänge in den Kernel-Page-Cache von schreibgeschützten Dateien zu ermöglichen, ohne eine Race Condition zu erfordern." html <blockquote data-media-max-width="560"><p lang="en" dir="ltr">another day, another universal linux LPE <a rel="nofollow noopener" href="https://t.co/GANYkAJwZS">https://t.co/GANYkAJwZS</a><a rel="nofollow noopener" href="https://t.co/XfzTsmg7kl">pic.twitter.com/XfzTsmg7kl</a></p> — V12 (@v12sec) </blockquote> ### Abhilfestrategien Um Systeme vor potenziellen Angriffen zu schützen, wird Linux-Benutzern dringend empfohlen, Kernel-Updates so schnell wie möglich einzuspielen. Für Systeme, bei denen ein sofortiges Patchen nicht möglich ist, kann die folgende Abhilfemaßnahme, die auch für Dirty Frag verwendet wird, angewendet werden, um anfällige Kernel-Module zu entfernen. Beachten Sie jedoch, dass dies AFS-verteilte Netzwerkdateisysteme und IPsec VPNs stören wird: `rmmod esp4 esp6 rxrpc` `printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf` ### Eine Welle von Linux-Schwachstellen Die Offenlegung von Fragnasia erfolgt inmitten laufender Patching-Bemühungen für "[Copy Fail](https://www.bleepingcomputer.com/tag/copy-fail/)", eine weitere Schwachstelle zur Rechteausweitung. Die **CISA** hat berichtet, dass Copy Fail derzeit aktiv ausgenutzt wird. Die CISA [fügte](https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalog) Copy Fail am 1. Mai ihrem [Katalog von Schwachstellen, die in Angriffen ausgenutzt werden](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search=CVE-2026-32202&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=) hinzu und wies Bundesbehörden an, ihre Linux-Systeme innerhalb von zwei Wochen, bis zum 15. Mai, abzusichern. Copy Fail wird als **CVE-2026-32202** verfolgt. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und stellt erhebliche Risiken für die föderale Unternehmenslandschaft dar", warnte die US-Cybersicherheitsbehörde. "Wenden Sie Abhilfemaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie die geltenden BOD 22-01-Richtlinien für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, wenn keine Abhilfemaßnahmen verfügbar sind." Im April haben Linux-Distributionen eine weitere Schwachstelle zur Rechteausweitung (genannt Pack2TheRoot) im **PackageKit**-Daemon gepatcht, die ein Jahrzehnt lang unentdeckt geblieben war.  ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)