Fragnesia: Noch eine schwere Sicherheitslücke im Linux Kernel

Fragnesia: Noch eine schwere Sicherheitslücke im Linux Kernel

Fragnesia

Nach den Sicherheitslücken Copy Fail und Dirty Frag wurde jetzt eine dritte kritische Lücke gefunden. Über „Fragnesia“ können Angreifern Root-Rechte erhalten. Betroffen sind alle Systeme, die auch für Dirty Frag anfällig sind.

Die Fragnesia getaufte Sicherheitslücke geht auf einen Bug in den Kernel-Modulen esp4 und esp6 für ESP/XFRM zurück. Sie helfen bei der Verschlüsselungen von Internetverbindungen mittels IPSec, das vor allem VPNs absichert. Fragnesia nutzt dabei einen Fehler im XFRM ESP-in-TCP-Subsystem aus.

Über ihn können Angreifer genau wie bei Dirty Frag einzelne Bytes in den Kernel-Speicher schreiben. Konkret lassen sich die Daten von eigentlich nur-lesbaren Dateien im Page Cache ändern, ohne dass dies auffällt. Modifiziert ein Angreifer geschickt den Page-Cache-Eintrag von „/usr/bin/su“, kann er über die Kernel-Funktion „execve(“/usr/bin/su”)“ das modifizierter su im Cache starten und so eine Shell mit Root-Rechten erhalten.

Die Sicherheitslücke trägt die CVE-Nummer 2026-46300. Um Fagnesia ausnutzen können, benötigen Angreifer wie bei Dirty Frag direkten Zugriff auf den Rechner. Das ist bei Einzelplatzsystemen weniger wahrscheinlich als bei Systemen, die den Remote-Zugang etwa via SSH erlauben oder Dienste in Containern ausführen.

Aufgespürt hat die Sicherheitslücke William Bowling mit der künstlichen Intelligenz V12. Auf GitHub stellt er nicht nur einen Exploit in der Programmiersprache C bereit, sondern beschreibt auch etwas detaillierter die Funktionsweise des Angriffs. Verwundbar sind demnach alle Systeme mit einem Linux-Kernel, die vor dem 13. Mai 2026 veröffentlicht wurden.

Canonical hat alle seine Ubuntu-Versionen als „betroffen“ ausgewiesen. Dort rät man wie auch William Bowling, alle von Dirty Frag betroffenen Kernel-Module abzuschalten – im Einzelnen „esp4“, „esp6“ und „rxrpc“. Dieser schnelle Workaround könnte allerdings den Betrieb von Diensten stören, die auf IPSec aufbauen. Canonical nennt hier vor allem VPN-Implementierungen wie StrongSwan. Red Hat wiederum empfiehlt, mit entsprechenden Maßnahmen den Zugriff auf das lokale System weitgehend abzudichten und etwa den SSH-Zugang abzuschalten.

Unter Ubuntu verhindert zudem AppArmor die Ausführung des Exploits: Dort schränkt die Sicherheitstechnik standardmäßig die Namespaces nicht-previligierter Nutzer ein. Angreifer müssen folglich zunächst AppArmor mit anderen Mitteln austricksen, um den Exploit wirken lassen zu können.

Generell helfen alle Maßnahmen gegen Dirty Frag automatisch auch gegen Fragnesia, da beide das gleiche Prinzip ausnutzen. Die aktuellen Kernel-Versionen erhalten bereits einen Patch gegen Fragnesia, den William Bowling eingereicht hat.

Ähnliche Artikel

IPFire 2.29 Core Update 202 schließt Kernel-Lücken

IPFire 2.29 Core Update 202

IPFire-Maskottchen
Tim Schürmann

Die neue Version der schlanken und flexiblen Firewall stopft die vor einigen Tagen entdeckten kritischen Sicherheitslücken im Kernel. Das Update von OpenVPN auf die Version 2.7 steigert zudem massiv den Durchsatz über VPN-Tunnel.

Was sonst noch unwichtig war in der Kalenderwoche 21/26

Was sonst noch unwichtig war

Tim Schürmann

Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht. Oder mit den Worten einer namhaften KI: „Die Linux-Woche in Bits und Panik.“

WordPress 7.0 verbessert Backend-Optik und setzt auf KI

WordPress 7.0

Logo WordPress
Tim Schürmann

Die Louis Armstrong gewidmete Version des Content-Management-Systems kommuniziert auf Wunsch mit generativer KI, zeigt ein leicht aufpoliertes Backend, erlaubt einen schnellen Blick in die Vergangenheit und kann die Schriftbibliothek in allen Themes nutzen.

Proxmox VE 9.2 bietet neuen dynamischen Load Balancer

Proxmox VE 9.2

Proxmox-Logo
Tim Schürmann

Das Proxmox Virtual Environment bietet einen neuen Cluster Resource Scheduler (CRS) für das Load Balancing, verbessert das Software Defined Networking (SDN), verwaltet benutzerdefinierte CPUs über die Weboberfläche und erlaubt ein „disarm“ des HA-Managers.

Tails 7.8: Thunderbird ist nicht mehr standardmäßig dabei

Tails 7.8

Tails-Logo
Tim Schürmann

Das Live-System Tails erlaubt das anonyme Surfen im Internet über das Tor-Netzwerk. Die neue Version 7.8 schmeißt Thunderbird von Bord – wer den E-Mail-Client benötigt, muss ihn ab sofort manuell nachinstallieren. Diese Maßnahme hat allerdings einen triftigen Grund.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
© COMPUTEC MEDIA GmbH
Nach oben