Dirty Frag ist eine Schwachstelle im Linux-Kernel, die es Angreifern ermöglicht, Administratorrechte (Root-Rechte) zu erlangen.

Um diese Schwachstelle auszunutzen, benötigt der Angreifer zunächst irgendeine Form von Zugriff auf das System, selbst wenn dieser nur auf niedriger Ebene erfolgt. 

Dies kann beispielsweise ein normales Benutzerkonto, eine kompromittierte Anwendung, ein anfälliger Container oder ein bereits angegriffener Dienst sein.

Das Problem: Gelingt es dem Angreifer, Root-Rechte zu erlangen, kann er die vollständige Kontrolle über das System übernehmen. 

Mit diesen Rechten kann er Sicherheitstools deaktivieren, auf Passwörter oder Anmeldeinformationen zugreifen, Systemregistrierungen verändern, auf andere Rechner im Netzwerk zugreifen und den Zugriff über längere Zeiträume aufrechterhalten. 

Wo liegt die Schwachstelle?
Linux speichert temporäre Kopien bestimmter Dateien im Arbeitsspeicher, um die Systemleistung zu verbessern. Dieser Bereich wird als Seitencache bezeichnet.

Normalerweise sollte ein Benutzer diese Kopien nicht ohne Berechtigung zur Änderung der Originaldateien verändern können. Dirty Frag durchbricht diesen Schutz jedoch.

Die Schwachstelle tritt bei bestimmten Netzwerk- und Verschlüsselungsoperationen auf. Der Kernel verarbeitet einige Daten direkt im Arbeitsspeicher, um die Leistung zu verbessern, prüft aber nicht ausreichend, ob dieser Speicher gefahrlos verändert werden kann. Dadurch können Teile des Dateicaches, die eigentlich geschützt sein sollten, manipuliert werden.

Linux versuchte, durch die direkte Datenverarbeitung im Arbeitsspeicher Zeit zu sparen. Diese Optimierung öffnete jedoch die Tür für die Manipulation von Informationen, die nicht verändert werden sollten.

Verwandtschaft zu Copy Fail
Vor Dirty Frag wurde eine ähnliche Schwachstelle namens Copy Fail (CVE-2026-31431) veröffentlicht. Sie wurde am 29. April 2026 bekannt gegeben.

Auch Copy Fail ermöglicht es Personen mit eingeschränkten Zugriffsrechten auf ein Linux-System, Administratorrechte zu erlangen. In diesem Fall befindet sich die Schwachstelle in einem Teil des Kernels, der mit kryptografischen Funktionen zusammenhängt.

Das Problem entstand durch eine 2017 eingeführte Leistungsverbesserung.

Ziel war es, unnötige Datenkopien zu vermeiden und so das System zu beschleunigen. Diese Verbesserung könnte jedoch dazu führen, dass der Kernel Speicherbereiche verändert, die nicht verändert werden sollten.

Gemeinsamkeiten: Copy Fail und Dirty Frag gehören zur selben Problemgruppe.

In beiden Fällen versucht der Kernel, effizienter zu arbeiten, indem er das Kopieren von Daten vermeidet. 

Das Problem dabei ist, dass er dabei versehentlich gemeinsam genutzte oder geschützte Speicherbereiche verändern kann.

Dies ist besonders schwerwiegend, da es die Veränderung wichtiger Systemdateien oder spezieller Binärdateien mit erhöhten Berechtigungen ermöglicht. 

Bei erfolgreicher Ausnutzung kann ein Angreifer Code mit Root-Rechten ausführen. 

Wichtiger Hinweis: Die Anwendung einer Schutzmaßnahme gegen Copy Fail bedeutet nicht, dass das System vor Dirty Frag geschützt ist. 

Es handelt sich zwar um verwandte, aber nicht identische Schwachstellen. Daher kann ein System, das bereits gegen Copy Fail geschützt ist, weiterhin anfällig für Dirty Frag sein. 

Shweregrad des Problems: 
Dirty Frag ist keine direkt aus der Ferne angreifbare Schwachstelle. 

Das heißt, eine Internetverbindung allein reicht nicht aus, um einen Computer ohne Weiteres auszunutzen. Dennoch ist die Gefahr ernst. 

Hat ein Angreifer bereits Zugriff auf das System mit eingeschränkten Berechtigungen erlangt, kann diese Schwachstelle genutzt werden, um Administratorrechte zu erlangen und die vollständige Kontrolle über den Rechner zu übernehmen.

Empfehlungen:
1. Identifizieren Sie alle potenziell gefährdeten Linux-Systeme, insbesondere Server mit lokalen Benutzern, SSH-Zugriff, CI/CD-Umgebungen, Containern, Kubernetes, Shared Hosting oder Workloads von Drittanbietern.
2. Installieren Sie die von den jeweiligen Herstellern veröffentlichten Kernel-Patches und starten Sie die Systeme gegebenenfalls neu.
3. Blockieren Sie die Module esp4, esp6 und rxrpc, bis ein Patch verfügbar ist, falls diese nicht verwendet werden.
4. Gehen Sie nicht davon aus, dass eine Schutzmaßnahme gegen Copy Fail auch vor Dirty Frag schützt.
5. Überprüfen Sie die Integrität sensibler Dateien und Binärdateien mit speziellen Berechtigungen, wenn ein Ausnutzen vermutet wird.
6. Priorisieren Sie Systeme, auf denen ein Angreifer auch mit eingeschränkten Berechtigungen lokalen Code ausführen kann.