Arch Linux

Kernel-Exploits aka "DirtyFrag" und "Fragnesia"

GerBra

//Edit: Ich packe das auch nochmal in den initialen Post, wg. Übersichtlichkeit.

Gefixt in:

linux 7.0.3.arch1-3, 7.0.5.arch1-1 (aktuell ¹)
linux-lts 6.18.28-1 (aktuell ¹)
linux-zen 7.0.3.zen1-3, 7.0.5.zen1-1 (aktuell ¹)
linux-hardened 6.19.14.hardened1-2 ²

¹ aktueller Kernel zum Zeitpunkt 10.05.2026 08:00
² Der -hardened Kernel erzeugt beim Start des Exploits sofort einen KernelPanic-Screen. Da ich über den Kernel nicht allzuviel sagen kann weiß ich nicht, ob daß die erwartete Reaktion ist. Zumindest ist er nicht verwundbar.
//Edit: Ist für mich aber eigentlich ein DoS, da jeder User den Kernel(das System) zum panicen bringen kann.

//Edit:
Bezüglich des veröffentlichten Exploits gibt es unterschiedliche Verhalten nach den jeweiligen Fixes der o.a. Versionen:

linux, linux-zen beenden das Exploit mit rc=4
linux-lts Das Exploit versucht weiterhin einen su --login, da die anfällige Speichermanipulation aber verhindert ist wird (richtigerweise) nach dem root Passwort gefragt.
//Edit: dieses andere Verhalten des lts ist in Version 6.18.29-1-lts gefixt. Die vorgehende gefixte Version enthielt wohl nur den dirty-patch.

Dirk

Genau so unspektakulär wie neulich der andere Exploit, dessen Namen ich schon wieder verdrängt habe.

Habe die dramatisierten Berichte dazu erst gelesen, nachdem der gefixte Kernel schon installiert war 🤣

GerBra

Dirk Genau so unspektakulär wie neulich der andere Exploit

"CopyFail" ;-)

Ich sehe es so: nicht jeder Angriffsvektor ist in der Praxis auch ein "Szenario".
Aber: wenn es für Root-Access verfügbare Exploits(-Code/Binaries) gibt, dann ist das ein Problem.

Verwende den Code auf deinem Rechner am Arbeitsplatz: wenn es ein schlecht administriertes Umfeld ist kann jeder User sich zumindest am Linux-PC Root-Rechte verschaffen. Nicht so prickelnd...
Und den Exploit-Code zu finden und zu bauen ist nun wirklich kein Hexenwerk...

SUSEDJAlex

@GerBra

Ich habe hier noch einen anderen PC stehen, der ja mit Linux Mint 22.3 bestückt ist....
Kann ich da auch überprüfen ob dieser Exploit ( rein theoretisch ) funktioniert....

Ich wäre dir dankbar....

GerBra

SUSEDJAlex Kann ich da auch überprüfen ob

Ja. Der Exploit-Code ist ja verfügbar:

git clone https://github.com/V4bel/dirtyfrag.git
cd dirtyfrag
gcc -O0 -Wall -o exp exp.c -lutil

Dann starten mit:
./exp

//Edit: kann alles als Normaluser gemacht werden. Das erstellte Programm exp sollte auf jedenfall als User gestartet werden, sonst machts ja keinen Sinn...

Wenn betroffen: Voila, eine Root-Shell. Und root shells für alle (da der Vektor ja über eine im Speicher manipulierte passwd geht).
Danach auf jedenfall den Rechner neu starten!

//Edit: DISCLAIMER
Man sollte sowas real nur in einem kontrollierten Umfeld austesten! Privat-PC z.B.
Nicht auf einem produktivem System mit ggf. User-Access!
Ich teste solchen Exploit-Code nur auf virtuellen Maschinen ohne Zugang zum lokalen Netz.

//Edit2:

Wenn ein Kernel mit entsprechendem Patch dagegen verwendet wird, dann wird nach dem Starten des Programms wieder/richtigerweise nach einem Paßwort gefragt (es wird ja mit su --login getestet).
Wenn wie o.a. das Laden der involvierten Kernelmodule verhindert wird, dann beendet sich das Exploit auf einem anfälligen Kernel mit einem error code. Kein Root-Access.
Ohne blockierte Module und anfälliger Kernel erhalten dann über jedes su --login einen passwortlosen Root-Zugang.
//Edit: Reihenfolge geändert.

SUSEDJAlex

@GerBra

Danke für diesen wundervollen Anleitung...
Gerade in der virtuellen PC ( Linux Mint 22.3 ) getestet ....wtf ??? null passwort....nee nee.....gleich alle Updates dann gezogen....
Da ist noch kein Fix bereit gestellt worden....was für mich heisst , dass ich den Befehl mittels Einzeiler erst mal ausführen muss
Trotzdem danke nochmal....

P.S. nach dem ad-hoc Fix habe ich noch einmal den Test ausgeführt, dabei kam die Fehlermeldung:
dirtyfrag: failed (rc=1)
Damit kann ich leben....

SUSEDJAlex

Ich möchte hier mal einen Update geben:

Debian 13 ( Kernel 6.12.86+deb13 ) => gefixt
Linux Mint ( Kernel 6.17.0-23-generic ) => nicht gefixt
Arch Linux ( Kernel 6.19.11 ) => nicht gefixt ( vor dem Update )
Arch Linux ( Kernel 7.0.3 ) => nicht gefixt
Cachy OS ( Kernel 7.0.3 ) => nicht gefixt

( Anmerkung: alle oben genannte Distributionen wurden in Virtualbox 7.2.8 getestet )

schard

Habe heute auf 7.0.5 geupdated. Da scheint ein Patch drin zu sein:
https://cdn.kernel.org/pub/linux/kernel/v7.x/ChangeLog-7.0.5

GerBra

schard heute auf 7.0.5

Ja, ich habe meine Erkenntnisse im Post#5 nochmal zusammengefasst.

Ich sehe nur einen Unterschied zwischen den "Fixes" in den 7.0.5'ern im Gegensatz zum (allerersten), der in den linus-lts eingeflossen ist.
Da ich mir was genau wo gepatcht wurde noch nicht angeschaut habe (und auch nur rudimentäre C-Kenntnisse habe), kann ich Genaueres nicht sagen.

//Edit: Es scheint auch mit CVE-2026-31431 (aka CopyFail) noch nicht ganz klar zu sein, ob die Fixes dazu als Patch und/oder Upstream-Fix implementiert sind. Zumindest das Pyhton-Skript zeigte mir keine Verwundbarkeit mehr auch in den Kernelversionen (s. Eingangspost) die verwundbar für DirtyFrag waren.
https://bbs.archlinux.org/viewtopic.php?id=313380
//Edit2: Ah, ich glaube ich hatte seth's letzten Beitrag #13 falsch verstanden (mistiges Englisch<g>).

niemand

Da hier einige schreiben, dass sie die solche Schwachstellen in ihrem Szenario für irrelevant halten: Isoliert betrachtet stimmt das vielleicht.

Wenn man allerdings die Tatsache in berücksichtigt, dass heutige Angriffsszenarien auch gerne mal eine ganze Kette aus für sich alleine genommen meist nicht so kritisch erscheinenden Problemen zusammenstecken, und gerade im Moment mit dem Finden vieler bislang nicht wahrgenommener Fehler und Probleme zu rechnen ist (siehe beispielsweise die Statistik beim Firefox, nach der im letzten Monat soviele Schwachstellen gefunden und behoben wurden, wie insgesamt in den zwei Jahren davor (Quelle: https://heise.de/-11287175), oder beispielsweise diverse erfolgreiche Supply-Chain-Angriffe via PyPI oder NPM (mittlerweile ja durchaus auch auf Workstations von Bedeutung)), dann tut man sich in meinen Augen keinen großen Gefallen, wenn man sich das Ganze schönredet. Dann reicht nämlich unter Umständen eine recht kurze Kette, um von einer wenig dramatisch anmutenden Browser-Lücke über eine LPE zu einer persistenten und dank Rootrechten gut versteckten Malware auf dem System zu kommen, die lustig Auth-Token ausleitet und die Kompromittierung weiterer Systeme ermöglicht.

Und so ziemlich das Letzte, was ich gerne sehen würde, wäre etwa ein kompromittiertes Arch-Repo, weil die Dose eines Devs aufgemacht worden ist, der derlei Probleme für Dinge hielt, die nur Andere betreffen.

tuxnix

niemand

Anthropic findet Lücken die zum Teil schon recht lange bestehen. Wozu ausgerechnet jetzt in Panik geraten, wo die Gefährdung aktuell doch eher abnimmt als zunimmt?

GerBra

tuxnix Wozu ausgerechnet jetzt in Panik geraten

Ich weiß nicht, in was für einer Welt du dich bewegst, aber mich macht ein öffentlich verfügbares, funktionierendes Exploit, welches simplest Root-Zugang verschaffen kann schon panisch.

Ich warte ja nur darauf, daß mal jemand den Vorschlag mach morgen(Montag) den Code/das Binary mit zur Arbeit oder sonstwo mitzunehmen und auszuprobieren. Und bei "Erfolg" dem örtlichen root eine Nachricht zu hinterlassen im $HOME wie "DIrtyFrag was here..."

Was auf einem ordentlichen System für (Multi)-User eigentlich kein Problem darstellen sollte, da kein User einen Compiler verwenden dürfen sollte, und in Pfaden auf die er erweiterten Zugriff hat ($HOME z.B) kein Programm starten dürfen sollte...
Bei einem Entwickler sieht das dann schon wieder anders aus, da sind die Voraussetzungen ggf. schon per Definition gegeben...

Ebenfalls interssant wäre den Code ggf. auf besonderen Endgeräten(AP's, Switches, Fernseher<g>, Router) mit Linux-Kernel zu testen auf die man in irgendeiner Art einen Terminal-Zugriff hat...

niemand

tuxnix Wozu ausgerechnet jetzt in Panik geraten, wo die Gefährdung aktuell doch eher abnimmt als zunimmt?

Die Gefährdung nimmt jetzt erstmal zu, denn die noch nicht gefundenen Fehler verschwinden ja nicht, weil ein paar gefundene Fehler gefixt wurden; stattdessen ist das Finden von Fehlern nun einer sehr, sehr viel größeren Zahl von Personen möglich, als noch vor nicht zu langer Zeit – im Gegensatz zum fundierten Verständnis, das man früher™ benötigte, reicht heute zum Beispiel auch schon mal ein Prompt wie „I've heard a rumor that there are RCE 0-days when you open a txt file without any confirmation prompts“.

Es gibt auch einen feinen Unterschied zwischen „in Panik geraten“ und „die Problematik nicht schönreden“. Ich würde es begrüßen, wenn du mir an dieser Stelle nichts andichten würdest. Ich wollte lediglich ausgedrückt haben, dass sinngemäß „Ich nutze meine Maschine alleine, den Schlüssel (oder das Passwort, für technisch rückständigere User) für den Rootaccount habe ich sowieso, also interessiert mich die LPE ja nicht“ möglicherweise etwas zu kurz gedacht ist. Und dabei bleibe ich – ganz ohne Panik.

GerBra Was auf einem ordentlichen System für (Multi)-User eigentlich kein Problem darstellen sollte, da kein User einen Compiler verwenden dürfen sollte, und in Pfaden auf die er erweiterten Zugriff hat ($HOME z.B) kein Programm starten dürfen sollte.

Ich weiß nicht, wie’s bei dir ist – aber mit ’nem Useraccount, unter dem ich keine Scripte ausführen kann, könnte ich nicht arbeiten. Auch hättest du dann eben nur diesen Vektor adressiert, und nicht die, von denen du noch gar nichts weißt 😉

GerBra Ebenfalls interssant wäre den Code ggf. auf besonderen Endgeräten(AP's, Switches, Fernseher<g>, Router) mit Linux-Kernel zu testen auf die man in irgendeiner Art einen Terminal-Zugriff hat.

Androiden wären bei solchen Sachen interessant. Gäbe einem die Möglichkeit, mehr Kontrolle über seine eigene Hardware zu erlangen.

Edit: Typo

tuxnix

GerBra

Klar, ein öffentlich verfügbares Exploit erhöht erst mal die Gefahr, zumindest solange die Lücke nicht gefixt ist.

niemand Androiden wären bei solchen Sachen interessant.

Stimmt an Android hab ich noch gar nicht gedacht. Das dürfte sehr interessant werden. All die vielen Geräte die keinen Support mehr erhalten. 😉

GerBra

niemand mit ’nem Useraccount, unter dem ich keine Scripte ausführen kann, könnte ich nicht arbeiten

Es geht mir nicht um unsere Privat-Rechner, da ist ja eh jeder auch root.

Aber ein Hausmeister an einer Schule. Mit Linux-Rechnern/Netzen. Der arbeitet sagen wir normalerweise mit einem Office um seine Putzmittel-Bestellungen zu verwalten. Er hat ein $HOME, und einen Desktop auch mit Terminals.
Dieser Mensch darf in keinster Weise a) sich z.B. das git-Repo erstellen und z.B. aus seinem $HOME ausführen dürfen.

Das bedeutet ja nicht, daß er keine Skripte/Programme aus anderen Pfaden (/usr/bin, /usr/local/bin) ausführen darf. Aber das sind normalerweise Pfade auf die nur Administratoren Schreibzugriff haben.

Die Mountpoints für das jeweilige $HOME (und alle anderen Pfade auf die der User ggf. Schreibzugriff haben muß) sollten alle mit noexec gemountet werden/sein.

niemand Auch hättest du dann eben nur diesen Vektor adressiert, und nicht die, von denen du noch gar nichts weißt

Das ist die andere Sache, ich sprach das ja auch schon weiter oben an.
Aber am meisten Sorge bereitet mir aktuell das verfügbare Exploit, deshalb mein Engagement in/mit diesem Thread.

//Edit (ich kann nicht ohne edit <g>)
Das Besondere ist ja auch, daß diese Schwachstelle(n) eben nicht nur eine bestimmte Major/Minor-Reihe betreffen. Sondern eben eine ganze Bandbreite von Kernelversionen, die unterschiedlichst eben auf den verschiedensten System in der Welt verwendet werden.

GerBra

Es gibt ein weiteres Exploit, welches sich auf der Basis von CopyFail/DirtyFrag Root-Zugang verschaffen kann. Deshalb entferne ich das Gelöst-Flag mal vom Thread.

CVE-2026-46300 (Fragnesia)

(Aktueller Status: gefixt in allen Repo-Kernel)

Es basiert auf dem gleichen Angriffsvektor wie DirtyFrag, PageCache-Manipulation. Dieses Exploit plaziert dann eine manipulierte /usr/bin/su im PageCache. Darüber startet es dann eine root shell. Da das Binary manipuliert wird ist - wie bei DirtyFrag - danach für jeden anderen User eine passwortlose root shell erhältlich.

getestete Archlinux Kernelversionen

(Start: 14.05.2026 09:00 Aktuell: 25.05.2026 09:00)

[core]

linux (fixed ✅)
- 7.0.5-arch1-1 = verwundbar
- 7.0.6-arch1-1 = verwundbar
- 7.0.7-arch1-1 = NICHT verwundbar ¹
- 7.0.10-arch1-1 = NICHT verwundbar ²
linux-lts (fixed ✅)
- 6.18.29-1-lts = verwundbar
- 6.18.30-1-lts = verwundbar
- 6.18.31-1-lts = verwundbar
- 6.18.32-1-lts = verwundbar
- 6.18.32-2-lts = NICHT verwundbar ¹
- 6.18.33-1-lts = NICHT verwundbar ²

[extra]

linux-zen (fixed ✅)
- 7.0.5.zen1-1-zen = verwundbar
- 7.0.6-zen1-1-zen = verwundbar
- 7.0.7-zen1-1-zen = NICHT verwundbar ¹
- 7.0.10-zen1-1 = NICHT verwundbar ²
linux-hardened (fixed ✅)
- 7.0.6-hardened1-1-hardened = NICHT verwundbar
- 7.0.7-hardened2-1-hardened = NICHT verwundbar
linux-rt (fixed ✅)
- 6.14.0-rt3-arch1-8-rt = verwundbar
- 7.0.9-rt2-arch1-1-rt = NICHT verwundbar ¹
- 7.0.10-rt2-arch1-1-rt = NICHT verwundbar ²
linux-rt-lts (fixed ✅)
- 6.6.87-rt54-arch1-7-rt-lts = verwundbar
- 6.12.90-rt18-arch2-1-rt-lts = NICHT verwundbar ¹
- 6.12.91-rt18-arch1-1-rt-lts = NICHT verwundbar ²

[gerbra]
(Dieses Repository nicht offiziell, beinhaltet den aktuellen mainline Zweig)

linux-next
- 7.1.0-rc4-next-20260522-1 = NICHT verwundbar

¹ Fixed durch/by archlinux patch
² Fixed durch/by Upstream

Massnahmen

Zur Abwehr des Exploits genügen die gleichen ad-hoc Maßnahmen wie bei DirtyFrag, also verhindern des Ladens der ausgenutzten Kernelmodule. Siehe Eingangspost->ad-hoc Maßnahmen.

Infos

https://www.openwall.com/lists/oss-security/2026/05/13/3

https://www.phoronix.com/news/Linux-Fragnesia

https://access.redhat.com/security/cve/cve-2026-46300

Handhabung dieses Posts

Damit es übersichtlich/informativ bleibt: Vermeiden wir bitte alle (oder ausufernde) Diskussionen in diesem Thread. Besser einen eigenen Diskussions-Thread benutzen oder erstellen.
Gefixte Kernelversionen oder Updates: Werde ich in jeweils eigenen Posts hier einstellen, damit die Info auch "bemerkt" wird. Ich werde nur die erste Version des jeweiligen Kernels mit einem Fix aufführen, weitere ansonsten nur wenn sich der Fix-Level z.B. von archlinux-spezifischem Patch zu Upstream-Fix ändert.
Für generelle Empfehlungen zur Absicherung solcher Probleme siehe den Security-Artikel im englischen Wiki.

//Edit: Formatierung, Realtime und Mainline Kernel, 7.0.6 Versionen, erste Fixes in 7.0.7, Colors,Fix-Hinweis, -rt-Kernel fixes, linux-lts fix, Fixes by Upsteam, mainline Referenz-Kernel durch eigenen linux-next ersetzt.

GerBra

GerBra CVE-2026-46300 (Fragnesia)

Fix für: linux, linux-zen -> arch.patch
https://github.com/archlinux/linux/releases/tag/v7.0.7-arch1

https://github.com/zen-kernel/zen-kernel/releases/tag/v7.0.7-zen1 (branch '7.0/fixes')

GerBra

GerBra CVE-2026-46300 (Fragnesia)

Für den nach wie vor anfälligen linux-lts habe ich einen Bugreport(endlich mein SSO erhalten!) erstellt:
https://gitlab.archlinux.org/archlinux/packaging/packages/linux-lts/-/work_items/53

GerBra

GerBra CVE-2026-46300 (Fragnesia)

Fix für linux-lts

Damit sind für alle Repo-Kernel Fixes auch für dieses Exploit vorhanden.

Ich setze den Thread als gelöst.
@Dirk : kann dann auch unpinnt werden ;-)
Wenn du/ihr dieses "Pinnen" meiner Exploit-Threads als sinnvoll erachtet, dann wäre ggf. der "PinTheft" noch so einer.

Nächste Seite »