This content is protected against AI scraping.
Die Sicherheitslücke „Dirty Frag“ ermöglicht es Angreifern, sich auf fast allen aktuellen Linux-Systemen sofortige Administratorrechte (root) zu verschaffen. Dabei handelt es sich nicht um einen einzelnen Fehler, sondern um eine Kombination aus zwei Schwachstellen in den Linux-Kernel-Komponenten xfrm-ESP und RxRPC.
Das Kernproblem liegt im sogenannten Page-Cache: Linux legt Kopien von wichtigen Systemdateien (wie /etc/passwd oder /usr/bin/su) im Arbeitsspeicher ab, um den Zugriff zu beschleunigen. Normalerweise dürfen normale Benutzer diese Dateien nur lesen. „Dirty Frag“ erlaubt es jedoch, diese Kopien im RAM heimlich zu manipulieren. Wenn das System später auf die originale Datei zugreift, nutzt es versehentlich die verfälschte Version aus dem Speicher. Das Ergebnis ist, dass ein Angreifer, der eigentlich nur eingeschränkte Rechte hat, durch diese Täuschung die volle Kontrolle über das System übernimmt. Seit 2017. Jede:r könnte den Code kontrollieren und Verbesserungsvorschläge einreichen. Machen aber die wenigsten. Auch ich nicht.
Besonders kritisch ist, dass diese Methode selbst Schutzmechanismen umgeht, die zuvor gegen ähnliche Angriffe (wie „Copy Fail“) eingeführt wurden. Der Entdecker Hyunwoo Kim hat den Angriff erfolgreich auf einer breiten Palette aktueller Distributionen getestet, darunter Ubuntu 24.04, RHEL 10, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 und Fedora 44.
Gibt es Patches? Die Lage ist aktuell angespannt, da die Lücke erst kürzlich (Mai 2026) öffentlich gemacht wurde:
Offizielle Updates: Die meisten Linux-Distributionen haben noch keine fertigen Updates veröffentlicht, da sie Zeit benötigen, um die Fehleranalyse und das Testen abzuschließen.
Entwicklungsstatus: Für den Teil der Lücke, der die ESP-Komponente betrifft, wurde bereits am 7. Mai 2026 ein Fix in den Hauptentwicklungsstrang von Linux integriert. Für den anderen Teil (RxRPC) steht ein solcher Patch noch aus.
Fazit: Nutzer müssen derzeit meist noch auf die offiziellen Updates ihrer jeweiligen Distribution warten.
Was ist die Gegenmaßnahme? Da offizielle Patches noch nicht flächendeckend verfügbar sind, bietet der Entdecker eine manuelle Workaround-Lösung an, die die betroffenen Kernel-Module deaktiviert. Dies verhindert den Angriff, schaltet aber auch die entsprechenden Netzwerkfunktionen (verschlüsselte Verbindungen via ESP und RxRPC) vorübergehend ab.
LinuxNutzer:innen könnten folgende Befehlszeile ausführen, um die Module zu blockieren und zu entfernen:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; trueDies ist jedoch nur eine temporäre Notlösung. Sobald Ihre Linux-Distribution ein offizielles Sicherheitsupdate bereitstellt, sollte dieses umgehend installiert werden, um die Lücke dauerhaft zu schließen und die volle Funktionalität wiederherzustellen.
[https://github.com/V4bel/dirtyfrag][https://github.com/V4bel/dirtyfrag/blob/master/assets/write-up.md]
Beitragsbild von V4bel [https://github.com/V4bel/dirtyfrag/blob/master/assets/tux.png]