Fragnesia-Linux-Schwachstelle ermöglicht Angreifern Root-Zugriff – Proof of Concept veröffentlicht

Der Name selbst deutet auf den Mechanismus hin: Der Kernel „vergisst", dass ein Fragment während der Socket-Puffer-Koaleszenz geteilt wird, und korrumpiert Speicherbereiche, die er eigentlich nicht berühren sollte. Fragnesia: Linux-Kernel-Schwachstelle Der Exploit nutzt einen subtilen Logikfehler aus, der die Art und Weise betrifft, wie der Kernel den ESP-in-TCP ULP (Upper Layer Protocol)-Modus verarbeitet.

Wenn ein TCP-Socket nach dem Verspleißen in den espintcp ULP-Modus wechselt, verarbeitet der Kernel versehentlich diese gepufferten Dateiseiten als ESP-Verschlüsselungstext. Dadurch wird ein einzelner AES-GCM-Schlüsselstrom-Byte direkt in den Kernel-Seitenpuffer einer schreibgeschützten Datei XORed, ohne dass ein Race Condition erforderlich ist.

Durch sorgfältige Auswahl eines IV-Nonces kann ein Angreifer jeden gewünschten Schlüsselstrom-Byte erzeugen und so jedes Byte in einem gepufferten Dateiseitenpuffer beliebig ändern, und zwar pro Aufruf des Auslösers ein Byte.

Der Exploit erstellt eine Lookup-Tabelle

Der Exploit erstellt eine Lookup-Tabelle mit 256 Einträgen, die alle möglichen Schlüsselstrom-Bytes ihren entsprechenden Nonces zuordnet, und durchläuft dann eine bösartige Last, wodurch die ersten 192 Bytes von /usr/bin/su im Seitenpuffer mit einem kleinen ELF-Stub überschrieben werden, der setresuid(0,0,0) aufruft und /bin/sh ausführt.

Entscheidend ist, dass das auf der Festplatte befindliche Binärformat vollständig unverändert bleibt; lediglich der im Arbeitsspeicher befindliche Seitenpuffer wird modifiziert. Betroffene Versionen und Gegenmaßnahmen Jede Linux-Kernel-Version, die – also im Wesentlichen jeder Kernel vor dem 13. Mai 2026 – ist anfällig. Der Patch wurde zwar upstream eingereicht, aber unpatchte Systeme bleiben weiterhin exponiert.

Bis eine Patchung möglich ist, sollten Administratoren die betroffenen ESP-Module unverzüglich deinstallieren: ```text rmmod esp4 esp6 rxrpc printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf Eine kritische Warnung zur Nachausnutzung: Sobald der Exploit ausgeführt wurde, bleibt `/usr/bin/su` im Page-Cache verändert und startet bei jeder Aufrufung erneut eine Root-Shell, bis der Cache geleert ist.

Administratoren müssen vor dem Verlassen einer

Administratoren müssen vor dem Verlassen einer betroffenen Maschine unbeaufsichtigt entweder `echo 1 | tee /proc/sys/vm/drop_caches` ausführen oder den System neu starten. Ein öffentliches Proof-of-Concept-Beispiel ist bereits auf GitHub verfügbar und senkt die Schwelle zur Ausnutzung erheblich.

Organisationen, die Linux-Server betreiben, sollten dies als höchste Priorität behandeln und den upstream-Patch unverzüglich anwenden. Sie uns auf