Dirty-Frag-Schwachstelle (CVE-2026-43284, CVE-2026-43500)

Am 7. Mai 2026 veröffentlichte der Forscher Hyunwoo Kim Details zu einer kritischen Linux-Kernel-Schwachstelle namens Dirty Frag. Sie ermöglicht es jedem unprivilegierten lokalen Benutzer — oder einem Prozess innerhalb eines Containers — vollen Root-Zugriff auf das Host-System zu erlangen.

Ein funktionierender öffentlicher Exploit ist bereits in freier Wildbahn. Das erfordert Ihre Aufmerksamkeit noch heute.

Was ist Dirty Frag

Die Schwachstelle steckt im Fast-Path-Entschlüsselungscode für IPsec ESP und rxrpc. Wenn ein Socket-Buffer seitenbasierte Fragmente enthält, die nicht im exklusiven Besitz des Kernels sind (z. B. Seiten, die über splice(2), sendfile(2) oder MSG_SPLICE_PAGES eingehängt wurden), entschlüsselt der Kernel die Daten direkt über diese extern verwalteten Seiten — und legt dabei Klartext offen oder beschädigt ihn, auf den ein unprivilegierter Prozess noch eine Referenz hält.

Dirty Frag besteht tatsächlich aus zwei separaten Fehlern, die miteinander verkettet sind:

• CVE-2026-43284 — betrifft IPsec ESP (esp4 / esp6), seit 2017 in allen wichtigen Distributionen vorhanden
• CVE-2026-43500 — betrifft rxrpc, relevant nur auf Systemen mit installiertem Paket kernel-modules-partner

Wer ist betroffen

Die Schwachstelle ist in allen modernen Linux-Kerneln mit xfrm/ESP-Unterstützung vorhanden:

• AlmaLinux 8, 9, 10
• Rocky Linux, RHEL und Derivate
• Ubuntu, Debian und Derivate

Besonders gefährlich ist sie auf dedizierten Servern und containerisierten Umgebungen (Docker, LXC, Kubernetes) — sie kann genutzt werden, um aus einem Container auszubrechen und das Host-System zu kompromittieren.

Schritt 1. Sofortige Absicherung

Falls ein Update und Neustart gerade nicht möglich sind, blockieren Sie die verwundbaren Kernel-Module. Dies ist auf den meisten Servern, die IPsec-Transportmodus oder AFS nicht aktiv nutzen, gefahrlos anwendbar:

echo 'install esp4 /bin/false'  | sudo tee    /etc/modprobe.d/dirtyfrag.conf
echo 'install esp6 /bin/false'  | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc 2>/dev/null

Leeren Sie anschließend den Page-Cache, um potenziell manipulierte Seiten zu entfernen:

sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

Wenden Sie dies nicht an, wenn Ihr Server IPsec ESP oder AFS/rxrpc aktiv verwendet — diese Dienste werden dann nicht mehr funktionieren. Priorisieren Sie in diesem Fall das Einspielen des Patches und den Neustart so schnell wie möglich.

Um die Modul-Blacklist später rückgängig zu machen:

sudo rm /etc/modprobe.d/dirtyfrag.conf

Schritt 2. Kernel patchen

Sobald ein gepatchter Kernel für Ihre Distribution verfügbar ist, führen Sie das Update durch und starten Sie neu.

AlmaLinux (Patch jetzt im Testing-Repository verfügbar):

sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot

Gepatchte Kernel-Versionen:

• AlmaLinux 8: kernel-4.18.0-553.123.2.el8_10 oder neuer
• AlmaLinux 9: kernel-5.14.0-611.54.3.el9_7 oder neuer
• AlmaLinux 10: kernel-6.12.0-124.55.2.el10_1 oder neuer

Ubuntu / Debian:

sudo apt update && sudo apt upgrade linux-image-generic
sudo reboot

Rocky Linux / RHEL:

sudo dnf update kernel
sudo reboot

Überprüfen Sie nach dem Neustart, ob der neue Kernel läuft:

uname -r

Prüfung auf rxrpc-Exposition

CVE-2026-43500 ist nur relevant, wenn das Paket kernel-modules-partner installiert ist. Prüfen Sie dies mit:

rpm -q kernel-modules-partner

Wenn das Paket nicht installiert ist, sind Sie von CVE-2026-43500 nicht betroffen.

Referenzen

• NVD: CVE-2026-43284
• Debian Security Tracker
• AlmaLinux Blog
• Öffentliche Offenlegung auf oss-security
• Write-up des Forschers
• Upstream-Fix ESP
• rxrpc-Fix auf netdev