Auf den Punkt: Zwei neue Linux-Kernel-Schwachstellen (Dirty Frag, Copy Fail 2) ermöglichen lokale root-Eskalation. Öffentliche Exploits vorhanden, Patches noch ausstehend. Betroffene Versionen: Ubuntu 24.04, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE und weitere. Bisherige Gegenmaßnahmen sind unwirksam.
Am 7. Mai 2026 wurden zwei gravierende Schwachstellen im Linux-Kernel öffentlich gemacht, die es lokalen Benutzern ermöglichen, sich auf root-Ebene zu eskalieren. Die Exploits sind bereits funktionsfähig verfügbar und betreffen die meisten gängigen Linux-Distributionen.
Die beiden Schwachstellen „Dirty Frag“ (CVE-2026-43284) und „Copy Fail 2: Electric Boogaloo“ ermöglichen nicht privilegierten Benutzern, beliebige Kernel-Speicherinhalte zu überschreiben und sich dadurch root-Rechte zu verschaffen. Sie existieren in den In-Place-Entschlüsselungspfaden der Kernel-Module esp4, esp6 (IPsec/ESP) sowie rxrpc und missbrauchen Page-Cache-Schreibprimitives über Funktionen wie splice(2) und sendfile(2).
Bei diesen Fehlern handelt es sich um deterministische Logikfehler ohne Race-Condition-Komponente. Die Erfolgswahrscheinlichkeit wird als hoch eingestuft, und ein fehlgeschlagener Angriff führt nicht zu einer Kernel-Panik. Funktionsfähige Proof-of-Concept-Exploits sind öffentlich verfügbar und ermöglichen die root-Eskalation in einem einzigen Aufruf.
Besonders besorgniserregend ist, dass bestehende Gegenmaßnahmen gegen die frühere „Copy Fail“-Schwachstelle (CVE-2026-31431) – etwa das Sperren des algif_aead-Moduls – keinen Schutz vor diesen neuen Varianten bieten. Die zugrundeliegenden Codefehler existieren teilweise seit 2017 (xfrm-ESP) beziehungsweise 2023 (RxRPC).
Betroffene Systeme umfassen Ubuntu 24.04, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, Fedora, openSUSE Tumbleweed, CloudLinux und weitere Distributionen. Der xfrm-ESP-Pfad setzt die Möglichkeit zur Erstellung von User-Namespaces voraus, während der RxRPC-Pfad unabhängig davon funktioniert – allerdings nur, wenn das rxrpc-Modul geladen ist. Durch die Kombination beider Wege ist eine Eskalation auf den meisten Standard-Distributionen möglich.
Quelle: www.cert.at