Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 28.06.2026 · 2 min Lesezeit

DirtyClone: Neue Linux-Kernel-Lücke ermöglicht lokale Root-Eskalation

Sicherheitsforscher von JFrog haben einen funktionierenden Exploit für die Linux-Kernel-Lücke CVE-2026-43503 veröffentlicht. Die als DirtyClone bezeichnete Schwachstelle ermöglicht lokalen Nutzern die Eskalation auf Root-Ebene ohne Spuren in Kernel-Logs zu hinterlassen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Cybersecurity Illustration zu Amazon Q Developer, bei der manipulierte Repositories AWS Cloud Zugangsdaten auslesen und über versteckte Skripte an Angreifer exfiltrieren.

Sicherheitsforscher von JFrog haben einen funktionierenden Proof-of-Concept-Exploit für die Linux-Kernel-Schwachstelle CVE-2026-43503 veröffentlicht. Die als DirtyClone bezeichnete Lücke gehört zur gleichen Familie wie die zuvor entdeckten DirtyFrag-Lücken, nutzt aber einen anderen Angriffsvektor im Netzwerk-Stack des Kernels.

Was ist passiert?

Die Schwachstelle befindet sich in der Funktion skb_try_coalesce des Linux-Kernels, die für das Zusammenführen von Netzwerkpuffern zuständig ist. Beim Klonen von Netzwerkpaketen über __pskb_copy_fclone wird das SKBFL_SHARED_FRAG-Flag verworfen, das markiert, dass der Speicher des Pakets mit einer Datei auf der Festplatte geteilt wird. Fehlt dieses Flag, kann ein Angreifer den Kernel-Speicher korrumpieren und durch Copy-on-Write-Mechanismen Dateiinhalte manipulieren. Das ermöglicht die Eskalation auf Root-Ebene. JFrog hat am 25. Juni 2026 einen funktionierenden Exploit-Walkthrough veröffentlicht.

Wer ist betroffen?

Betroffen sind Linux-Systeme mit Kernel-Versionen vor 7.1-rc5. Der Patch wurde am 21. Mai 2026 in den Mainline-Kernel unter Commit 9e171fc1d7d7 integriert. Alle Distributionen, die diesen Patch noch nicht in ihre Pakete zurückportiert haben, sind verwundbar. Dazu zählen potenziell ältere LTS-Kernel und Distributionen mit langsamerer Patch-Politik. Mehrbenutzersysteme und Server mit Shell-Zugang für nicht privilegierte Nutzer sind besonders gefährdet.

Wie kritisch ist das?

Die Schwachstelle trägt CVE-2026-43503 und einen CVSS-Score von 8.8 (High). Der Angriff erfordert lokalen Zugriff und einen unprivilegierten Nutzeraccount. Besonders problematisch: Der Exploit hinterlässt keine Spuren in Kernel-Logs oder Audit-Protokollen, was die Erkennung und Forensik erschwert. Es ist keine aktive Ausnutzung im Feld bekannt, aber der öffentliche PoC ermöglicht Angreifern die schnelle Übernahme.

Was sollten Admins jetzt tun?

  1. Kernel auf Version 7.1-rc5 oder neuer aktualisieren, mindestens aber den Patch mit Commit 9e171fc1d7d7 einspielen
  2. Bei Distributionen wie Ubuntu, Debian oder RHEL prüfen, ob das Security-Update bereits verteilt wurde
  3. Auf Mehrbenutzersystemen den Zugriff einschränken und unnötige lokale Nutzerkonten entfernen
  4. Kernel-Logs auf unerklärliche Privileg-Eskalationen überwachen, da der Angriff selbst keine Spuren hinterlässt
  5. Container-Hosts priorität patchen, da Container-Umgebungen mit unprivilegierten Nutzern angreifbar sind

Einordnung für Unternehmen

Für kleine und mittlere Unternehmen mit Linux-Servern ist DirtyClone besonders relevant, wenn mehrere Nutzer oder Dienste mit unterschiedlichen Berechtigungen auf demselben System laufen. Webserver mit SSH-Zugang, Build-Server mit Entwicklerkonten oder Jumphosts sind typische Ziele. Der fehlende Audit-Trail bedeutet, dass ein erfolgreicher Angriff unbemerkt bleiben kann, bis weitere Schadsoftware installiert wird. Die schnelle Anwendung des Kernel-Updates ist daher wichtiger als bei vielen anderen lokalen Privileg-Eskalationen.

Passende Anleitungen auf S-EDV

  1. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt – Welche Schwachstellen aktuell aktiv ausgenutzt werden und wie du die Priorisierung im Patch-Prozess strukturierst.
  2. Arch AUR: Infostealer in Hunderten Community-Paketen entdeckt – Auch aus scheinbar vertrauenswürdigen Paketquellen können Angreifer lokale Rechte ausweiten.

Quellen

  1. NVD: CVE-2026-43503
  2. CyberSecurityNews: DirtyClone
  3. Threat-Modeling.com: CVE-2026-43503
Verwandt

Weiter lesen

Alle Artikel →
libssh2 Sicherheitslücke CVE 2026 58050 mit öffentlichem PoC Exploit, Heap Corruption, SSH Modul, rotem Angriffspfad und gebrochenem Schutzschild als professionelle IT News Grafik.
28.06.2026 ·3 min

libssh2: Öffentlicher PoC-Exploit für Heap-Corruption-Lücke CVE-2026-58050

Sicherheitsforscher haben einen Proof-of-Concept-Exploit für die libssh2-Schwachstelle CVE-2026-58050 veröffentlicht. Ein bösartiger SSH-Server kann damit den Heap eines verbindungsaufbauenden Clients korrumpieren. Betroffen sind alle Versionen bis einschließlich 1.11.1.
Cybersecurity Illustration zu Amazon Q Developer, bei der manipulierte Repositories AWS Cloud Zugangsdaten auslesen und über versteckte Skripte an Angreifer exfiltrieren.
28.06.2026 ·2 min

Amazon Q Developer: Manipulierte Repos konnten AWS-Cloud-Zugangsdaten abgreifen

Wiz Research hat eine Schwachstelle in Amazons KI-Coding-Assistent Q Developer offengelegt, die es Angreifern ermöglichte, über manipulierte Git-Repositories Befehle auszuführen und AWS-Zugangsdaten zu stehlen. AWS hat den Fix veröffentlicht.
Cybersecurity Illustration eines chinesischen Uni App Frameworks, das massenhaft Betrugs Websites erzeugt und über 200.000 Scam Seiten mit Phishing, Fake Shops und Datendiebstahl verbreitet.
28.06.2026 ·2 min

Chinesisches Uni-App-Framework treibt über 200.000 Betrugs-Websites

Sicherheitsforscher haben entdeckt, dass Bedrohungsakteure das legitime chinesische Uni-App-Framework von DCloud missbrauchen, um über 200.000 Investment-Betrugs-Websites zu betreiben. Die Plattform verkauft vorgefertigte Betrugs-Templates als Bausätze.