Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Linux 28.05.2026 · 3 min Lesezeit

Fragnesia (CVE-2026-46300): Neue Linux-Kernel-Lücke verschafft Root-Rechte

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Linux-Terminal mit Shell-Prompt – Symbolbild für Kernel-Sicherheitslücke Fragnesia

Im Linux-Kernel kursiert die nächste Variante der CopyFail-Schwachstellenfamilie: Fragnesia (CVE-2026-46300) erlaubt es lokalen, unprivilegierten Nutzern, sich Root-Rechte zu beschaffen. Die Lücke sitzt erneut im XFRM-ESP-Subsystem, das IPsec-Verbindungen bedient. Microsoft hat die Schwachstelle am 15. Mai öffentlich gemacht, ein erster Kernel-Patch wurde am 13. Mai eingereicht. Ein lauffähiger Proof-of-Concept liegt vor – Admins sollten betroffene Systeme schnell aktualisieren oder das verwundbare Modul entladen.

Was Fragnesia technisch macht

Entdecker der Lücke ist William Bowling vom V12-Security-Team bei Zellic. Fragnesia greift gezielt das ESP-in-TCP-Handling im XFRM-Subsystem an: Durch sorgfältig präparierte Pakete erhält der Angreifer Schreibzugriff auf Speicherbereiche, die der Kernel als Seiten-Cache verwaltet. Im Proof-of-Concept manipuliert der Exploit den Page-Cache-Eintrag der Datei /usr/bin/su, ohne die Datei auf der Platte selbst zu verändern. Wer danach su aufruft, erhält eine Shell mit Root-Rechten.

Anders als ältere Klassiker wie Dirty COW kommt Fragnesia ohne Race Condition aus – der Angriff ist deutlich zuverlässiger und in der Praxis kaum als Fehlschlag zu tarnen. Red Hat bewertet die Schwachstelle mit einem CVSS-Score von 7.8 (hoch), Ubuntu bestätigt diese Einordnung. Praktisch alle Distributions-Kernel vor dem 13. Mai 2026 sind betroffen, sofern sie das XFRM-Modul mit ESP-in-TCP-Support kompiliert haben – das ist bei aktuellen Mainline-Kerneln die Regel.

Patches, Workarounds und Diagnose

Bowlings Korrektur fügt der ESP-Behandlung zwei Code-Zeilen hinzu und wurde inzwischen über die Distributionen ausgerollt. Für ungepatchte Maschinen gibt es einen wirksamen Notnagel: Wer auf IPsec verzichten kann, entlädt und blacklistet die anfälligen Module.

sudo rmmod esp4 esp6 rxrpc
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false' | sudo tee /etc/modprobe.d/dirtyfrag.conf

Was Admins jetzt tun sollten

  1. Kernel-Updates einspielen: aktuelle Mainline-, Debian-, Ubuntu-, RHEL- und SUSE-Kernel enthalten den Patch. Wer Live-Patching nutzt (kpatch, kgraft, ksplice), kann den Reboot zumindest vorerst aufschieben.
  2. Auf Servern ohne IPsec: ESP-Module per Blacklist deaktivieren – kostet nichts und schließt die Tür endgültig.
  3. Container- und Hosting-Umgebungen: gemeinsam genutzte Kernel auf allen Hypervisoren patchen, da ein einzelner unprivilegierter Container-User reicht.
  4. Monitoring: Page-Cache-Manipulationen sind in Standardlogs unsichtbar. Wer kann, ergänzt EDR-Regeln auf unerwartete setuid-Aufrufe oder modifizierte Binärsignaturen im laufenden Betrieb.
  5. WSL und Container-Hosts mit Linux-Kernel nicht vergessen – auch Docker-Desktop-Hosts und HyperV-Linux-VMs fallen unter dieselbe Empfehlung.

Heise weist in seiner Berichterstattung darauf hin, dass derzeit auffällig viele Kernel-Schwachstellen mit Eigennamen und Logos veröffentlicht werden – ein Nebeneffekt KI-gestützter Bug-Hunting-Werkzeuge. Für die Praxis bedeutet das vor allem: Patches schneller einspielen, weniger auf Marken-Namen warten. Solange Hosting-Provider, Cloud-Anbieter und On-Premise-Setups dieselben Mainline-Kernel teilen, sind Lücken dieser Klasse in 24 bis 48 Stunden im breiten Feld nutzbar.

Quellen: heise online – Fragnesia: Microsoft warns of another privilege escalation in Linux, BleepingComputer – New Fragnesia Linux flaw lets attackers gain root privileges, The Register – Dirty Frag gets a sequel as Fragnesia