Details sind zu **Fragnesia** aufgetaucht, einer neuen Variante der kürzlichen Dirty Frag Linux LPE-Schwachstelle, die es lokalen Angreifern ermöglicht, Root-Zugriff zu erlangen. Dies ist der dritte derartige Fehler, der innerhalb von zwei Wochen im Kernel identifiziert wurde. ## Fragnesia: Die Details Die Sicherheitslücke wird als **CVE-2026-46300** (CVSS-Score: 7.8) verfolgt und wurzelt im XFRM ESP-in-TCP-Subsystem des Linux-Kernels. Sie wurde vom Forscher William Bowling von **Zellic** und dem **V12**-Sicherheitsteam entdeckt. "Die Schwachstelle ermöglicht es nicht privilegierten lokalen Angreifern, schreibgeschützte Dateiinhalte im Kernel-Page-Cache zu ändern und Root-Privilegien durch ein deterministisches Page-Cache-Korruptions-Primitive zu erlangen", sagte **Wiz**, ein Unternehmen von **Google**. ## Hersteller-Hinweise Hinweise wurden von mehreren Linux-Distributionen veröffentlicht: * [AlmaLinux](https://almalinux.org/blog/2026-05-13-fragnesia-cve-2026-46300/) * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-029-aws/) * [CloudLinux](https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-46300) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-46300) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-46300) * [SUSE](https://www.suse.com/security/cve/CVE-2026-46300.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-46300) **V12** erklärte: "Dies ist ein separater Fehler im ESP/XFRM von Dirty Frag, der einen eigenen Patch erhalten hat. Er befindet sich jedoch in derselben Angriffsfläche und die Abhilfemaßnahme ist dieselbe wie bei Dirty Frag. Er missbraucht einen Logikfehler im Linux XFRM ESP-in-TCP-Subsystem, um beliebige Byte-Schreibvorgänge in den Kernel-Page-Cache von schreibgeschützten Dateien zu ermöglichen, ohne dass eine Race Condition erforderlich ist." ## Ähnlichkeiten zu Copy Fail und Dirty Frag Fragnesia ähnelt Copy Fail und Dirty Frag (auch bekannt als Copy Fail 2) darin, dass es auf allen wichtigen Distributionen sofort Root-Zugriff gewährt, indem es ein Memory-Write-Primitive im Kernel erreicht und den Page-Cache-Speicher der Binärdatei /usr/bin/su korrumpiert. Ein Proof-of-Concept (PoC) **exploit** wurde von **V12** veröffentlicht.  ## Abhilfestrategien Die **CloudLinux**-Maintainer raten: "Kunden, die die Dirty Frag-Abhilfemaßnahme bereits angewendet haben, müssen keine weiteren Maßnahmen ergreifen, bis gepatchte Kernel veröffentlicht werden." **Red Hat** erklärte, dass eine Bewertung durchgeführt wird, um zu bestätigen, ob bestehende Abhilfemaßnahmen auf **CVE-2026-46300** zutreffen. **Wiz** stellte außerdem fest, dass **AppArmor**-Beschränkungen für nicht privilegierte User-Namespaces als teilweise Abhilfemaßnahme dienen können und zusätzliche Umgehungen für eine erfolgreiche Ausnutzung erfordern. Im Gegensatz zu Dirty Frag sind jedoch keine Host-Level-Privilegien erforderlich. **Microsoft** drängt: "Ein Patch ist verfügbar, und obwohl zu diesem Zeitpunkt keine Ausnutzung in freier Wildbahn beobachtet wurde, fordern wir Benutzer und Organisationen dringend auf, den Patch so schnell wie möglich durch Ausführen von Update-Tools anzuwenden. Wenn das Patchen zu diesem Zeitpunkt nicht möglich ist, sollten Sie die gleichen Abhilfemaßnahmen wie für Dirty Frag in Betracht ziehen." Dazu gehören das Deaktivieren von esp4, esp6 und verwandten xfrm/IPsec-Funktionen, die Einschränkung unnötiger lokaler Shell-Zugriffe, die Härtung von containerisierten Workloads und die Erhöhung der Überwachung auf ungewöhnliche Privilege-Escalation-Aktivitäten. ## Zero-Day LPE Exploit auf Cybercrime-Foren Die Entwicklung erfolgt, während ein Bedrohungsakteur namens "berz0k" auf Cybercrime-Foren einen **zero-day** Linux LPE **exploit** für 170.000 US-Dollar bewirbt, mit dem Anspruch, dass er auf mehreren großen Linux-Distributionen funktioniert. "Der Bedrohungsakteur behauptet, dass die Schwachstelle TOCTOU-basiert ist (Time-of-Check Time-of-Use), stabile lokale Privilege Escalation ermöglicht, ohne Systemabstürze zu verursachen, und einen Shared Object (.so) **payload** nutzt, der in das /tmp-Verzeichnis abgelegt wird", schrieb **ThreatMon** auf X.