Blog
Dirty Frag unter Linux: technische Analyse zu Page Cache, skb und Root-Eskalation

Dirty Frag unter Linux: technische Analyse zu Page Cache, skb und Root-Eskalation

Mai 7, 2026
Technical Dirty Frag illustration with skb fragments, page cache, crypto paths and copy boundaries

Dirty Frag ist eine lokale Rechteausweitung im Linux-Kernel, veröffentlicht am 7. Mai 2026. Technisch interessant ist die Fehlerklasse: Page-Cache-Seiten können über nichtlineare Netzwerkfragmente in Kryptopfade geraten, die in-place schreiben. Wenn vorher eine private Kopie nötig wäre, kann geschützter Dateiinhalt über einen anderen Kernelpfad verändert werden.

Bedrohungsmodell

Ein Angreifer braucht lokale Codeausführung. Das kann ein CI-Job, ein Container, ein Plugin, ein Notebook oder eine kompromittierte Shell sein. Besonders kritisch sind Hosts, auf denen Workloads unterschiedlicher Vertrauensstufen denselben Kernel teilen.

Page Cache und Besitz

Der Page Cache ist Teil des effektiven Dateizugriffsmodells. Ein Prozess ohne Schreibrechte darf geschützte Dateiinhalte nicht über eine Cache-Seite verändern. Dirty Frag zeigt, wie riskant Zero-Copy-Pfade werden, wenn Besitz und Schreibbarkeit nicht sauber geprüft werden.

skb-Fragmente und Kryptopfade

Linux-Pakete sind nicht immer linear. sk_buff kann Seitenreferenzen enthalten. Das spart Kopien bei splice, sendfile und Netzwerkübertragung. Spätere Schichten müssen aber wissen, ob ein Fragment privat und beschreibbar ist. Die Dirty-Frag-Unterlagen nennen ESP4/ESP6 und RxRPC als relevante Pfade.

Mitigation

Kernel über Distribution oder Cloud-Anbieter aktualisieren und Systeme neu starten oder Knoten ersetzen. Priorität haben CI/CD-Runner, Kubernetes-Knoten, geteilte Entwicklungsserver und Hosts mit fremdem Code. Bis dahin: flüchtige Runner, minimale Secrets, weniger privilegierte Container und klare Trennung von Vertrauenszonen.

FAQ

Ist splice die Ursache?

Es ist Teil des Datenflusses, aber der Sicherheitskern ist Schreiben auf Speicher, der kopiert oder als geteilt behandelt werden müsste.

Soll IPsec deaktiviert werden?

Nicht pauschal. Entscheidend sind Herstellerfixes und konkrete Exposition.

Quellen

Das könnte dich interessieren

Dirty Frag unter Linux einfach erklärt: reales Risiko und nächste Schritte

Dirty Frag unter Linux einfach erklärt: reales Risiko und nächste Schritte

Dirty Frag kann lokalen Linux-Zugriff zu Root-Rechten ausweiten. Ein verständlicher Überblick zu Risiko und Prioritäten.

Mai 7, 2026

Dirty Frag in Chile: Auswirkungen auf Cloud, Unternehmen und Cybersicherheit

Dirty Frag in Chile: Auswirkungen auf Cloud, Unternehmen und Cybersicherheit

Auswirkungen von Dirty Frag in Chile: Cloud, Banken, Gesundheit, Staat, Regulierung und Linux-Patching.

Mai 7, 2026

Copy Fail in Chile: Auswirkungen auf Server, Cloud und kritische Dienste

Copy Fail in Chile: Auswirkungen auf Server, Cloud und kritische Dienste

Wie CVE-2026-31431 Chile betrifft: Linux-Server, Cloud, CI/CD, Kubernetes, SaaS-Anbieter und Anforderungen an Cybersicherheit.

April 29, 2026

Zuletzt aktualisiert am
Dirty Frag unter Linux einfach erklärt: reales Risiko und nächste SchritteDirty Frag in Chile: Auswirkungen auf Cloud, Unternehmen und Cybersicherheit