Am 8. Mai 2026 wurden die Schwachstellen CVE-2026-43284 (auch bekannt als Dirty Frag) und CVE-2026-43500 öffentlich bekannt. Am 13. Mai 2026 wurde eine weitere Variante von Dirty Frag mit dem Namen Fragnesia bekannt (CVE-2026-46300). Dabei handelt es sich jeweils um eine Local Privilege Escalation (LPE)-Schwachstelle, die es einem Angreifer mit lokalem Zugriff (also auch mit SSH-Zugriff) ermöglicht, durch Manipulation des Page-Cache Root-Rechte zu erlangen. Die Schwachstelle betrifft eine große Anzahl von Linux-Distributionen und ist besonders kritisch, da sie deterministisch ausnutzbar ist und keine Race Conditions erfordert. 
Die Schwachstelle ist besonders kritisch für Multi-User-Systeme oder Systeme mit untrusted Code-Ausführung

Dirty Frag ist eine Weiterentwicklung der Bug-Klasse, zu der auch Dirty Pipe und Copy Fail gehören. Sie kombiniert zwei separate Schwachstellen:

• xfrm-ESP Page-Cache Write: Ermöglicht das Schreiben in den Page-Cache von lesbaren Dateien. (CVE-2026-43284)
• RxRPC Page-Cache Write: Ermöglicht das Schreiben in den Page-Cache ohne Namespaces zu erstellen. (CVE-2026-43500)

Durch die Kombination dieser beiden Schwachstellen können Angreifer auf fast allen gängigen Linux-Distributionen Root-Rechte erlangen, selbst wenn einzelne Mitigationsmaßnahmen (z. B. Blacklisting von algif_aead) bereits angewendet wurden.

Betroffene Systeme

Die Schwachstelle betrifft Linux-Kernel-Versionen, die seit 2017 veröffentlicht wurden.

Da die Schwachstelle auf Kernel-Ebene liegt, ist davon auszugehen, dass alle aktuellen Distributionen betroffen sind.

Risikobewertung

Hohes Risiko: Die Schwachstelle ermöglicht eine zuverlässige und deterministische Ausnutzung, ohne dass der Kernel abstürzt. Da der Page-Cache zwischen allen Prozessen geteilt wird, kann die Schwachstelle auch in Container-Umgebungen ausgenutzt werden (Container Escape).

Empfohlene Maßnahmen

Aktuell (8. Mai 2026) gibt es noch keine offiziellen Patches für die meisten Distributionen. Bis Patches verfügbar sind, wird empfohlen die Kernelmodule esp4, esp6 und rxrpc zu deaktivieren (z.B. per modprobe), sofern diese nicht zwingend für den Betrieb Ihres Systems erforderlich sind. Diese Empfehlung gilt (Update vom 13. Mai 2026) auch weiterhin und selbst dann, wenn Sie einen Kernel installiert haben, der das ursprüngliche Dirty-Frag-Problem behebt. Um die Ausnutzung der Variante Fragnesia zu verhindern, müssen die drei Module weiterhin deaktiviert bleiben.
Beachten Sie dazu bitte die Mitigationshinweise Ihrer Distribution oder die Hinweise des Exploit-Autors. 

Überprüfen Sie regelmäßig die Sicherheitshinweise Ihrer Distribution, ob Updates des Kernels bereitgestellt werden:

• RHEL: https://access.redhat.com/security/cve/cve-2026-43284
• Debian: https://security-tracker.debian.org/tracker/CVE-2026-43284 und https://security-tracker.debian.org/tracker/CVE-2026-43500 
• Ubuntu: https://ubuntu.com/security/CVE-2026-43284 and https://ubuntu.com/security/CVE-2026-43500 

Sollten keine Updates bereitstehen und Sie die genannten Kernelmodule nicht deaktivieren können, schränken Sie den Zugriff auf Ihr System ein und verstärken Sie das Monitoring auf ungewöhnliche Zugriffe.

Weiterführende Informationen

• GitHub – V4bel/dirtyfrag (Offizielle Beschreibung und PoC)
• NVD – CVE-2026-43284
• Heise – Dirty Frag: Linux-Lücken verschaffen Root-Rechte