CVE-2026-43284: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „=Beschreibung= „Dirty Frag" (CVE-2026-43284 / CVE-2026-43500) ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die durch die Verkettung zweier unab…“) |
|||
| Zeile 41: | Zeile 41: | ||
=Proof of Concept= | =Proof of Concept= | ||
| − | + | *git clone https://github.com/V4bel/dirtyfrag.git | |
| + | *cd dirtyfrag | ||
| + | *gcc -O0 -Wall -o exp exp.c -lutil | ||
| + | *./exp | ||
=Fix= | =Fix= | ||
Aktuelle Version vom 8. Mai 2026, 13:44 Uhr
Beschreibung
„Dirty Frag" (CVE-2026-43284 / CVE-2026-43500) ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die durch die Verkettung zweier unabhängiger Page-Cache-Write-Schwachstellen eine lokale Privilegienerweiterung (Local Privilege Escalation, LPE) auf nahezu allen gängigen Linux-Distributionen ermöglicht.
Die Schwachstelle gehört zur selben Fehlerklasse wie Dirty Pipe und Copy Fail: Ein normaler Benutzer ohne Root-Rechte kann gezielt Daten in den Page Cache des Kernels schreiben, ohne dass die eigentliche Datei auf dem Datenträger verändert wird. Klassische Erkennungsmethoden wie Hashprüfungen oder Log-Analysen greifen daher nicht. Nach einem Neustart oder beim Leeren des Caches verschwinden alle Spuren automatisch.
Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Dirty Frag kein präzises Timing und keinen Race Condition – es handelt sich um einen deterministischen Logikfehler mit sehr hoher Erfolgsrate.
Betroffene Komponenten
Dirty Frag verkettet zwei Schwachstellen, die sich gegenseitig ergänzen:
- xfrm-ESP Page-Cache Write (CVE-2026-43284)
- Vorhanden seit Commit
cac2661c53f3(Januar 2017), gepatcht in Mainline
bei f4c50a4034e6. Erfordert das Recht zur Erstellung eines User Namespace.
- RxRPC Page-Cache Write (CVE-2026-43500)
- Vorhanden seit Commit
2dc334f1a63a(Juni 2023), noch kein Patch verfügbar.
Erfordert kein Namespace-Privilege, setzt jedoch das Modul rxrpc.ko voraus.
Durch die Verkettung beider Varianten werden die jeweiligen blinden Flecken abgedeckt:
Wo xfrm-ESP durch AppArmor-Richtlinien blockiert wird (z. B. Ubuntu),
greift RxRPC – und umgekehrt.
Betroffene Versionen
Die effektive Lebensdauer der Schwachstellen beträgt bis zu 9 Jahre. Getestete Distributionen:
- Ubuntu 24.04.4 (Kernel 6.17.0-23-generic)
- RHEL 10.1 (6.12.0-124.49.1.el10_1.x86_64)
- CentOS Stream 10 (6.12.0-224.el10.x86_64)
- AlmaLinux 10 (6.12.0-124.52.3.el10_1.x86_64)
- Fedora 44 (6.19.14-300.fc44.x86_64)
- openSUSE Tumbleweed (7.0.2-1-default)
Proof of Concept
- git clone https://github.com/V4bel/dirtyfrag.git
- cd dirtyfrag
- gcc -O0 -Wall -o exp exp.c -lutil
- ./exp
Fix
Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, können die verwundbare Module deaktiviert werden. Dieser Schritt erfordert keinen Neustart.
- Module dauerhaft deaktivieren und sofort entladen
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
- Page Cache leeren (falls Exploit bereits ausgeführt wurde)
echo 3 > /proc/sys/vm/drop_caches
Nach einem verfügbaren Kernel-Update:
- Debian/Ubuntu
apt update && apt upgrade
- Rocky Linux / RHEL / Fedora
dnf update
Anschließend Neustart durchführen und prüfen, ob das Update den jeweiligen Patch enthält.
Verhältnis zu Copy Fail
Dirty Frag teilt denselben Sink wie Copy Fail im xfrm-ESP-Pfad. Systeme, auf
denen die bekannte Copy-Fail-Mitigation (Blacklist von algif_aead)
angewendet wurde, sind weiterhin durch Dirty Frag verwundbar.