Linux Neue Root-Lücke in Linux gefunden ("Dirty Frag")

Linux Betriebssystem
Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
79.021
Eben bei Heise:
www.heise.de

„Dirty Frag“: Linux-Lücken verschaffen root-Rechte

Weitere Lücken mit dem Namen „Dirty Frag“ ermöglichen die Rechteausweitung. Betroffen sind wohl alle Distributionen.
www.heise.de www.heise.de

Es betrifft offenbar alle Distributionen und Versionen.

Da diese Lücke zu früh veröffentlicht wurde, gibt es noch keinen Fix, sondern nur einen Workaround, um das Schlimmste zu verhindern:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Hm ... esp4 / esp6 / rxrpc sind auf meinen devuan Systemen nicht geladen. ... wann werden die Module geladen? Oder was triggert das Laden?
 
Regel Nummer 1:
Kopiere niemals irgend einen Code aus dem Internet, den du noch nicht einmal verstehst, in ein Terminal.
Wer einfach den verlinkten Code übernimmt, ist ein erheblich größeres Risiko als die vermeintlich ach so gefährliche Lücke.
 
Grundsätzlich richtig, das ist aber nicht schwer zu verstehen, es legt eine Datei an, etc/modprobe.d/dirtyfrag.conf
die das Laden verschiedener Kernel-Module verhindert und entlädt diese falls geladen.
Das sind die Module, die für die Lücke anfällig sind.
Wenn die Lücke behoben ist einfach die Datei wieder löschen
Beitrag automatisch zusammengeführt:

@zwieblum , ja Linux kann Module in demand laden, daher das blocken über die Modeprobe config
 
Zuletzt bearbeitet:
ja klar, aber was triggert das Laden? Entladen werden die Kernelmodule praktisch nicht (ausser manuell) und selbst wenn steht im Logfile, dass sie geladen wurden. Nur werden die Dingerchen hier nicht geladen, was zu meiner Gretchenfrage führt ...
 
Damit relativiert sich das mit der gefährlichkeit aber schon ein bischen :)
 
Aber vermutlich nur, wenn die entsprechenden Kernel-Module nicht geladen sind.
Die eigentliche Frage stellt sich eher, welche Fähigkeiten nach entladen der Kernelmodule eingeschränkt werden und ob Nicht Multi-Host-Controller inzwischen auch betroffen sind, denn der verlinkte Artikel auf kernel.org ist auch schon 8 Jahre alt..
 
Für Debian/Ubuntu gibt es jetzt einen erweiterten Workaround:
ubuntu.com

Dirty Frag Linux kernel local privilege escalation vulnerability mitigations | Ubuntu

Two local privilege escalation (LPE) vulnerabilities affecting the Linux kernel have been publicly disclosed on May 7, 2026. One of the vulnerabilities has been assigned the ID: CVE-2026-43284. The other CVE ID is pending. Both are referred to as “Dirty Frag.” The affected components are Linux...
ubuntu.com ubuntu.com

Der Artikel führt auch alle betroffenen Ubuntu-Versionen ab 14.04. auf
 
Eigentlich ist es ja gut, wenn viele Lücken gefunden und geschlossen werden, aber ein schlechter Geschmack bleibt trotzdem.
 
zwieblum schrieb:
ja klar, aber was triggert das Laden?
Zum Vergrößern anklicken....

moselwal.de

Dirty Frag (CVE-2026-43284) — Linux-Kernel-LPE: Module blacklisten, IPsec abwägen

Dirty Frag betrifft alle Linux-Kernel seit 2017. Mitigation: drei Module blacklisten. Trade-offs: IPsec und kAFS brechen, OpenAFS bleibt. Wie wir das systematisch für Customer-Stacks ausrollen.
moselwal.de

Die oss-security-Disclosure vom 7. Mai 2026 liefert die technische Anatomie: Dirty Frag ist eine Verkettung von zwei separaten Page-Cache-Write-Schwachstellen — einmal in xfrm-ESP (IPsec-Fast-Path mit MSG_SPLICE_PAGES no-COW) und einmal in RxRPC (kAFS-Transport-Schicht). Erreichbar wird die Verkettung über das XFRM-User-Netlink-Interface, das die zugehörigen Kernel-Module bei Bedarf automatisch nachlädt. Das ist der Grund, warum die Mitigation genau diese drei Module (esp4, esp6, rxrpc) trifft — sie sind die Eintrittstür zur Verkettung, auch auf Hosts, die selbst weder IPsec noch kAFS aktiv einsetzen.
Zum Vergrößern anklicken....

Es ist also schon eine komplexe Sache und um das automatische Nachladen z.B. per Skript zu verhindern, sollten die Module in die Blacklist, wenn sie nicht benötigt werden.
 
bei mir ist akutell auf dem X270 diese Version drauf: 6.8.0-111-generic. Die ist aber schon ein paar Tage drauf, kam nix aktuell rein.
das L14 betrachte ich morgen.
 
Volvo-Berti schrieb:
bei mir ist akutell auf dem X270 diese Version drauf: 6.8.0-111-generic. Die ist aber schon ein paar Tage drauf, kam nix aktuell rein.
das L14 betrachte ich morgen.
Zum Vergrößern anklicken....

Ist doch klar, denn die müssen ja auch erst von den Maintainern in´s Repo gepflegt werden, wenn Du nicht direkt bei kernel.org lädst;-)
 
Volvo-Berti schrieb:
bei mir ist akutell auf dem X270 diese Version drauf: 6.8.0-111-generic. Die ist aber schon ein paar Tage drauf, kam nix aktuell rein.
das L14 betrachte ich morgen.
Zum Vergrößern anklicken....
so, auf dem L14 ist 6.17.0-23-generic drauf. Seltsam, oder?
beide Rechner sind mit demselben Stick erstellt worden, LM 22. Und beide werden automatisch aufgefrischt.
 
Moin,
der Kernel 6.8 ist bereits schlappe zwei Jahre aus dem Support heraus.
Kernel 6.17 ist 'erst' 7 Monate aus dem Support heraus.

Das ist einer der Mistpunke bei Mint: Man kann mal eben grafisch auf irgendeinen Kernel hüpfen, einfach so. Das musst Du aber selber getan haben, von alleine passiert das nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
  • ok2.de - Notebook Computer Server

Werbung

Zurück
Oben