Im Abstand von wenigen Tagen hat Sicherheitsforscher Hyunwoo Kim zwei weitere kritische Linux-Kernel-Sicherheitslücken veröffentlicht: Dirty Frag (CVE-2026-43284 und CVE-2026-43500) am 7./8. Mai 2026 und Fragnesia (CVE-2026-46300) am 13. Mai 2026. Beide ermöglichen es einem unprivilegierten lokalen Nutzer, Root-Rechte zu erlangen: ohne Race Condition, mit öffentlich verfügbarem Proof-of-Concept.
Damit sind innerhalb von drei Wochen drei kritische Linux-Kernel-Schwachstellen aus derselben Angriffsfamilie bekannt geworden. Über die erste Lücke, Copy Fail (CVE-2026-31431), hat Ghacks Deutschland bereits berichtet. Weitere Sicherheitsmeldungen zu Linux sammelt Ghacks Deutschland in der Kategorie Linux.
Dirty Frag (CVE-2026-43284): Root-Zugriff über das IPsec-Subsystem
Dirty Frag betrifft zwei Komponenten des Linux-Netzwerk-Stacks: die IPsec-Implementierungen esp4 und esp6 (CVE-2026-43284) sowie den RxRPC-Netzwerkstack (CVE-2026-43500). Der Fehler liegt im In-Place-Entschlüsselungspfad dieser Subsysteme.
Wenn der Kernel Daten über splice(2) oder sendfile(2) von einer Pipe in einen Socket übergibt, können dabei Page-Cache-Seiten als Paged Buffer im Socket-Buffer landen, die nicht im privaten Besitz des Kernels sind. Im betroffenen Entschlüsselungspfad von esp4, esp6 und rxrpc überschreibt der Kernel diese Seiten direkt – ein unprivilegierter Prozess behält danach eine Schreibreferenz auf den Page Cache und kann beliebige Dateien überschreiben.
Microsoft hat am 8. Mai 2026 bestätigt, dass Dirty Frag aktiv ausgenutzt wird. Ein öffentlicher Proof-of-Concept ermöglicht Root-Zugriff mit einem einzigen Befehl. Patches sind für Ubuntu, RHEL, AlmaLinux, Fedora, openSUSE und CloudLinux erschienen. Als Übergangslösung ohne Kernel-Neustart können Nutzer die betroffenen Module deaktivieren:
modprobe -r esp4 esp6
TuxCare stellt außerdem einen KernelCare-Livepatch bereit, der den Fix ohne Neustart einspielt.
Fragnesia (CVE-2026-46300): Der Dirty-Frag-Patch öffnete eine neue Lücke
Fragnesia ist eine direkte Folge des Dirty-Frag-Patches. Die Funktion skb_try_coalesce() verlor beim Zusammenführen von Paged Fragments den SKBFL_SHARED_FRAG-Marker. Dadurch verlor der Kernel die Information, dass ein Fragment von extern bereitgestellten Page-Cache-Seiten stammt – und die ursprüngliche Angriffsfläche blieb in abgewandelter Form erhalten.
Fragnesia nutzt das xfrm ESP-in-TCP-Subsystem und den AES-GCM-Algorithmus, um Byte für Byte in SUID-Binaries wie /usr/bin/su zu schreiben. Auch hier ist ein öffentlicher Proof-of-Concept verfügbar, der Root-Rechte ohne Race Condition verschafft. Betroffen sind alle Linux-Kernel vor dem 13. Mai 2026, sofern auf dem System unprivilegierte User Namespaces aktiv sind.
AlmaLinux, TuxCare und CloudLinux haben Patches veröffentlicht. Red Hat hat alle drei CVEs aus der Dirty-Frag-Familie in einem gemeinsamen Security Advisory (RHSB-2026-003) zusammengefasst.
Patchstatus nach Distribution (Stand 25. Mai 2026)
Patches für Dirty Frag und Fragnesia sind für die meisten verbreiteten Distributionen verfügbar. Eine Übersicht:
- Ubuntu (alle aktuellen LTS): Kernel-Update verfügbar
- RHEL / CentOS Stream: Patch im Red Hat Advisory RHSB-2026-003
- AlmaLinux: Patches für alle unterstützten Versionen bestätigt
- Fedora: Kernel-Update verfügbar
- openSUSE / SUSE Linux Enterprise: Patches erschienen
- Arch Linux: Rolling-Release – bei aktuellen Systemen automatisch enthalten
- Debian Stable: Kernel-Update über Security-Repository nötig
Nutzer sollten prüfen, welche Kernel-Version auf ihrem System läuft, und gegebenenfalls ein Update einspielen. Auf Systemen, bei denen ein sofortiger Neustart nicht möglich ist, kann die Modulsperre (modprobe -r esp4 esp6) als temporäre Maßnahme genutzt werden.
Alle drei Sicherheitslücken stammen von demselben Forscher und derselben Angriffsmethode
Copy Fail, Dirty Frag und Fragnesia wurden alle von Hyunwoo Kim entdeckt. Gemeinsam ist ihnen der Angriffsmechanismus: Sie nutzen die Möglichkeit, Page-Cache-Seiten über Socket-Operationen wie splice(2) oder sendfile(2) in Kernel-Subsysteme einzubringen, die für solche extern verwalteten Seiten nicht ausgelegt sind. Das Ergebnis ist in allen drei Fällen ein Schreibzugriff auf geschützten Speicher und damit Root-Rechte.
Die Häufung ist ungewöhnlich: Während Copy Fail den Crypto-Stack (algif_aead) betraf, zielt Dirty Frag auf den Netzwerk-Stack (IPsec). Fragnesia entstand als Nebeneffekt des Dirty-Frag-Patches, weil die Reparatur selbst einen Randfall im Page-Fragment-Management unberücksichtigt ließ.
Red Hat fasst alle drei CVEs in einem gemeinsamen Advisory zusammen. AWS hat ebenfalls ein eigenes Sicherheitsbulletin (2026-030) veröffentlicht und hält laufende Updates zu den Nachfolge-CVEs bereit.
Stand 25. Mai 2026 sind keine weiteren Sicherheitslücken aus dieser Schwachstellenfamilie bekannt. Patches für Dirty Frag und Fragnesia sind für alle großen Distributionen verfügbar. Systemadministratoren, die Copy Fail bereits gepatcht haben, sollten prüfen, ob auch die nachfolgenden Kernel-Updates eingespielt sind, da ältere Kernel-Versionen zwischen den drei Patches weiterhin anfällig bleiben.