Een nieuwe ernstige kwetsbaarheid genaamd Dirty Frag zet de Linux-wereld op scherp. De bug geeft elke lokale gebruiker direct rootrechten op vrijwel iedere Linux-installatie sinds 2017. Onderzoekers ontdekten dat een klein programma volstaat om de systeembeheerder volledig te omzeilen. Getroffen distributies zijn onder meer Ubuntu 24 en 26, Arch, RHEL, OpenSUSE, CentOS Stream, Fedora en Alma. Zelfs WSL2 op Windows blijkt kwetsbaar voor dit lek.
Het probleem zit in een logicafout en is daardoor zeer betrouwbaar uit te buiten. Dirty Frag lijkt sterk op de eerder gemelde Copy Fail-kwetsbaarheid. Beide misbruiken een zero-copy operatie door een page cache descriptor in te splicen. Het verschil zit in de locatie van de fout. Dirty Frag richt zich op de IPSec-gerelateerde kernelmodules esp4, esp6 en rxrpc. De originele bug heet xfrm-ESP Page Cache Write en stamt uit een kernelcommit uit 2017. Op Ubuntu blokkeert AppArmor dit pad, waardoor de exploit een tweede zwakte in RxRPC inzet.
Er is op dit moment geen enkele patch beschikbaar, ook niet voor de mainline kernel. Dat komt doordat een derde partij het embargo brak voordat ontwikkelaars een oplossing klaar hadden. Vermoedelijk wordt de exploit al actief misbruikt. Beheerders krijgen het advies om snel de modules esp4, esp6 en rxrpc uit te schakelen. Voor systemen zonder IPSec heeft die maatregel nauwelijks impact op de werking.
Serverbeheerders moeten updates dus nauwlettend volgen. Patch de getroffen machines zodra een officiële fix verschijnt. Wie wil testen of een systeem kwetsbaar is, kan de proof of concept op GitHub gebruiken. Tot die tijd biedt het uitschakelen van de kwetsbare modules de beste bescherming.
