Dirty Frag Linux-Schwachstelle ermöglicht Angreifern Root-Zugang – Proof of Concept veröffentlicht

Technischer Hintergrund

Anschließend wird ein Authentifizierungsfehler (-EBADMSG) zurückgegeben, doch der Schreibvorgang im Seitencache ist bereits dauerhaft erfolgt. Diese Variante erfordert die Fähigkeit, einen Benutzernamen zu erstellen (unshare(CLONE_NEWUSER)).

Der RxRPC-Seitencache-Schreibfehler befindet sich in der Funktion rxkad_verify_packet_1(), die eine Platzhalter-verschlüsselte Entschlüsselung mittels pcbc(fcrypt) für die ersten 8 Byte des RxRPC-Payloads durchführt.

Da skb_to_sgvec() die splice-verankerte Seitencache-Seite direkt in die SGL umwandelt, wird die vom Angreifer kontrollierte Seite sowohl als Quelle als auch als Ziel verwendet.

Technischer Hintergrund

Der 8-Byte-Speicherwert ist `fcrypt_decrypt(C, K)`, wobei `K` ein frei wählbarer Sitzungsschlüssel ist, der über `add_key("rxrpc",...)` registriert wird – eine Operation, die keinerlei Berechtigungen erfordert. Der Angreifer bruteforct `K` im Benutzermodus, bis die gewünschte Klartextnachricht erzeugt wird (z.

B. das Umwandeln des Passwortfelds der ersten Zeile von `/etc/passwd` in eine leere Zeichenkette), was einen Umgehung des PAM `nullok`-Authentifizierungsmechanismus ermöglicht.

Keine der beiden Schwachstellen allein deckt alle Linux-Umgebungen ab: - ESP-Variante: Verfügbar auf den meisten Distributionen, erfordert jedoch die Erstellung eines Benutzernamensraums, der auf einigen Ubuntu-Konfigurationen durch AppArmor-Richtlinien blockiert ist. - RxRPC-Variante: Erfordert keine Namensraum-Berechtigungen, aber das Modul `rxrpc.ko` ist auf den meisten Distributionen wie RHEL 10.1 standardmäßig nicht vorhanden – wird jedoch auf Ubuntu mitgeliefert und automatisch geladen.

Sicherheitslage und Risiko

Die Verkettung beider Exploits schließt beide Blindstellen und ermöglicht Root-Zugriff auf praktisch jede große Distribution. Der Exploit versucht zunächst den ESP-Weg; falls `unshare(CLONE_NEWUSER)` fehlschlägt, wechselt er automatisch zum RxRPC-Weg, der `/etc/passwd` angreift.

Betroffene Distributionen und Kernel-Versionen Die ESP-Schwachstelle war bereits seit dem Commit cac2661c53f3 (Januar 2017) vorhanden, die RxRPC-Schwachstelle seit dem Commit 2dc334f1a63a (Juni 2023), was der Kette ein effektives Zeitfenster von etwa neun Jahren verleiht.

Zu den bestätigten betroffenen Distributionen gehören: - Ubuntu 24.04.4 (Kernel 6.17.0-23-generic) - RHEL 10.1 (Kernel 6.12.0-124.49.1.el10_1.x86_64) - openSUSE Tumbleweed (Kernel 7.0.2-1-default) - CentOS Stream 10 (Kernel 6.12.0-224.el10.x86_64) - AlmaLinux 10 (Kernel 6.12.0-124.52.3.el10_1.x86_64) - Fedora 44 (Kernel 6.19.14-300.fc44.x86_64) Der ESP-Varianten-Patch, der das Flag SKBFL_SHARED_FRAG verwendet, um sicherzustellen, dass splice-feste Seiten stets über skb_cow_data() geleitet werden, wurde am 7.

Sicherheitslage und Risiko

Mai 2026 in den netdev-Tree integriert. Der finale integrierte Patch basierte auf einem von Kuan-Ting Chen eingereichten Ansatz für geteilte Fragmente. Der RxRPC-Patch, der || skb->data_len zur bestehenden skb_cloned()-Bedingung hinzufügt, um die Isolierung nicht-linearer skbs zu erzwingen, wurde upstream noch nicht integriert.

Bisher wurden für beide Schwachstellen keine CVE-Identifikatoren zugewiesen, da eine unbeteiligte dritte Partei am 7. Mai 2026 vorzeitig die Embargo-Bestimmungen verletzte.

Sofortige Gegenmaßnahmen Da Patches auf Verteilungsebene noch nicht verfügbar sind, sollten Administratoren die betroffenen Kernel-Module unverzüglich mit dem folgenden Befehl deaktivieren: bash sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" Dies führt zur Eintragung in die Blackliste und zum Entladen der Module esp4, esp6 und rxrpc, wodurch die Funktionalität von IPsec und RxRPC als Kompromiss beeinträchtigt wird.

Sicherheitslage und Risiko

Systeme, die auf IPsec-VPN-Tunnel angewiesen sind, sollten die operativen Auswirkungen dieser Umgehungslösung sorgfältig abwägen und die Anwendung der Lösung priorisieren, bis Patches für den Kernel, die von der Verteilung übernommen wurden, verfügbar sind.

Die vollständige technische Dokumentation sowie der Proof-of-Concept-Exploit-Code sind im GitHub-Repositorium des Forschers verfügbar.

Cyberkriminelle dringen nun über Ihre Lieferanten ein, statt durch Ihre Haustür – Kostenloses Webinar Der Beitrag „Dirty Frag Linux-Schwachstelle ermöglicht Angreifern Root-Rechte – Proof of Concept veröffentlicht" erschien erstmals auf Cyber Security News.