Dirty Frag is nieuwe bug in Linux-kernel die aanvaller rootrechten kan geven

In dit artikel:

Onder de naam Dirty Frag is opnieuw een ernstige Linux-kernelkwetsbaarheid naar buiten gekomen die aanvallers in staat stelt met één commando rootrechten te verkrijgen. De ontdekker meldt dat de fout bestaat uit twee samengebruikte kwetsbaarheden (CVE-2026-43284 en CVE-2026-43500) in paginacache‑schrijfoperaties voor respectievelijk xfrm‑ESP en RxRPC, functies die door veel distributies worden gebruikt.

Wat deze kwetsbaarheid extra risicovol maakt, is dat de exploit deterministisch is: er is geen raceconditie of lastige timing nodig en de aanval veroorzaakt geen kernel panic. Daardoor is het relatief eenvoudig uit te voeren zodra een aanvaller lokale toegang heeft, of in combinatie met andere bugs voor volledige privilege‑escalatie. Dirty Frag vertoont sterke overeenkomsten met eerdere fouten zoals Dirty Pipe (2022) en heeft raakvlakken met de recent ontdekte Copy Fail‑kwetsbaarheid.

Een van de twee onderliggende bugs is inmiddels in de mainlinekernel gepatcht; de andere nog niet. Belangrijk is dat de eerder geadviseerde mitigatie voor Copy Fail (het uitschakelen van algif_aead) hier niet beschermt: Dirty Frag is uit te voeren ongeacht de status van die instelling. De ontdekker zegt te hebben geprobeerd responsible disclosure toe te passen, maar bracht de details en een proof‑of‑concept publiek omdat hij daartoe werd gedwongen door externe omstandigheden.

Proof‑of‑concepts tonen dat de aanval werkt op veel gangbare distributies, waaronder Ubuntu, RHEL, CentOS, AlmaLinux, OpenSUSE en Fedora, en leveranciers hebben inmiddels waarschuwingen en testfixes uitgebracht. Voor gebruikers en beheerders is het advies om direct uitgegeven updates en patches van hun distro te installeren, niet‑noodzakelijke lokale accounts en services te beperken en systemen te monitoren op verdachte lokale activiteit totdat alle fixes doorgevoerd zijn.