Fragnesia: Schon wieder gefährliche Root-Lücke im Linux-Kernel
In den vergangenen Wochen sind bereits mehrere Sicherheitslücken an die Öffentlichkeit gelangt, anhand derer Angreifer auf Linux-Systemen einen Root-Zugriff erlangen können. Mit Fragnesia wurde jetzt die nächste Lücke dieser Art offengelegt. Sie klafft direkt im Linux-Kernel und betrifft mehrere weitverbreitete Distributionen. Ursache ist laut Beschreibung auf Github(öffnet im neuen Fenster) ein Logikfehler im XFRM-ESP-in-TCP-Subsystem.
Den Angaben zufolge hat Fragnesia Ähnlichkeiten mit der erst vor wenigen Tagen aufgedeckten Dirty-Frag-Lücke. Die Entdecker beschreiben Fragnesia sogar als "Mitglied der Dirty-Frag-Schwachstellenklasse". Ebenso wie bei Dirty Frag sollen sich mit Fragnesia ausgewählte Bytes des Page-Caches schreibgeschützter Dateien überschreiben lassen.
Nähere Details zum Ablauf des Angriffs sowie ein funktionierender Exploit sind auf Github zu finden(öffnet im neuen Fenster). Der Exploit zielt darauf ab, die ersten Bytes von /usr/bin/su im Page-Cache zu überschreiben und danach mit der Funktion execve() eine Root-Shell zu öffnen. "Die Änderung des Seitencaches wird nicht auf die Festplatte zurückgeschrieben", erklären die Entdecker. Die Binärdatei auf der Festplatte bleibe bei dem Angriff unberührt.
Zahlreiche Distributionen betroffen
Fragnesia ist als CVE-2026-46300(öffnet im neuen Fenster) registriert und soll grundsätzlich auf allen Linux-Systemen ausnutzbar sein, die auch für Dirty Frag anfällig sind. Betroffen sind nach aktuellen Erkenntnissen also mindestens die Distributionen Ubuntu, Red Hat Enterprise Linux (RHEL), Opensuse, CentOS, Almalinux und Fedora, potenziell auch Weitere.
Zumindest unter Ubuntu soll das Sicherheitstool Apparmor, welches ebenfalls erst vor wenigen Wochen durch eine Root-Lücke aufgefallen war, einen gewissen Schutz bieten. "Apparmor schränkt standardmäßig die Namensräume nicht privilegierter Benutzer ein", heißt es dazu auf Github. Diese Einschränkung muss unter Ubuntu zuerst aufgehoben werden, damit der Exploit funktioniert. Die Forscher betonen aber, dass dies potenziell auch durch Kombination mit einer anderen Sicherheitslücke möglich sei.
Patch kommt, Workaround verfügbar
Der Linux-Kernel erhielt zum 13. Mai einen Patch(öffnet im neuen Fenster), der vor einer Ausnutzung von Fragnesia schützt. Allerdings scheint dieser, wie schon zuletzt bei bei den Sicherheitslücken Dirty Frag und Copy Fail, noch nicht bei den jeweiligen Distributionen angekommen zu sein. Bei Debian(öffnet im neuen Fenster) und RHEL(öffnet im neuen Fenster) beispielsweise sind zahlreiche Versionen aktuell noch als anfällig markiert.
Wer die empfohlene Mitigation für Dirty Frag umsetzt hat, muss sich aber wohl keine Sorgen machen. Bei Fragnesia ist der vorgeschlagene Workaround(öffnet im neuen Fenster) identisch und umfasst das entfernen der anfälligen Kernel-Module. Dadurch wird allerdings die Funktionalität von IPsec beeinträchtigt, wie aus einem Advisory von Red Hat(öffnet im neuen Fenster) hervorgeht. Sicherheitstools wie der Microsoft Defender können jedoch ebenfalls vor Fragnesia schützen. Laut Microsoft(öffnet im neuen Fenster) erkennt der Defender bekannte Fragnesia-Exploits und blockiert deren Ausführung.
Hinweise auf eine aktive Ausnutzung von CVE-2026-46300 gibt es bisher nicht. Da der Exploit öffentlich verfügbar ist und viele Systeme noch keinen Patch erhalten haben, dürfte es aber nur eine Frage der Zeit sein, bis entsprechende Attacken beobachtet werden. Administratoren sollten die verfügbaren Abhilfemaßnahmen also möglichst zeitnah umsetzen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.