Am 7. Mai 2026 hat Hyunwoo Kim (@v4bel), ein Security-Forscher, den Nachfolger von Copy Fail veröffentlicht: Dirty Frag (auch „Copy Fail 2“). Das Ergebnis: Ein unprivilegierter lokaler Benutzer kann auf den meisten Linux-Distributionen innerhalb einer Kommandozeile root-Privilegien erlangen.
Working PoC. Deterministisch. 99% Erfolgsrate. Kein Race Condition nötig. Kein Kernel-Panic bei Fehlschlag.
Was ist Dirty Frag?
Dirty Frag kombiniert zwei Page-Cache-Schreib-Primitiven im Linux-Kernel: eine im xfrm-ESP (IPsec) Subsystem (CVE-2026-43284) und eine im RxRPC-Subsystem (CVE-2026-43500). Beide flaws ermöglichen die Manipulation von Page-Cache-Memory, die nicht ausschließlich vom Kernel besessen wird — was zur Korruption sensibler Dateien und letztlich zu Privileg-Eskalation führt.
Der Unterschied zu Copy Fail: Dirty Frag funktioniert unabhängig davon, ob das algif_aead-Modul aktiviert ist. Das heißt: Systeme, die bereits gegen Copy Fail gehärtet wurden, sind trotzdem anfällig.
Warum funktioniert es überall?
Die genial-bösartige Architektur: Die beiden Exploits decken gegenseitig die Blindstellen ab.
- Das ESP-Exploit benötigt die Berechtigung zum Erstellen von User-Namespaces. Ubuntu blockiert das standardmäßig mit AppArmor.
- Das RxRPC-Exploit benötigt keine Namespace-Berechtigungen — aber das rxrpc.ko-Modul ist auf den meisten Distributionen nicht vorinstalliert. Ubuntu lädt es standardmäßig.
Chain die beiden zusammen, und fast jede Distribution hat mindestens einen Pfad offen.
Wer ist betroffen?
Bestätigt betroffen: Ubuntu 24.04.4, RHEL 8/9/10, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 8/9/10, Fedora 44, SUSE Virtualization (alle Versionen), OpenShift 4.
Die betroffene Code-Logik im ESP-Subsystem existiert seit Januar 2017. RxRPC seit Juni 2023. Das bedeutet: Die meisten produktiven Linux-Server sind prinzipiell verwundbar.
Was bedeutet das für SAP-Systeme?
RHEL und SUSE Linux Enterprise sind die beiden primären Betriebssysteme für SAP-Produktivumgebungen. SAP HANA, S/4HANA, NetWeaver — alles läuft auf Linux. Und auf diesen Servern gibt es regelmäßig mehrere lokale Benutzer: SAP-Service-Accounts, Monitoring-Tools, Backup-Agenten, CI/CD-Pipelines für ABAP-Transporte.
Jeder dieser lokalen Benutzer kann Dirty Frag ausführen und sich zu root hocharbeiten.
Die Angriffssequenz ist denkbar einfach:
- Angreifer erlangt lokalen Zugang (SSH-Credential-Phishing, kompromittierter Service-Account, Schwachstelle in einer Web-App wie GLPI)
- Dirty Frag PoC wird ausgeführt — ein Command, öffentlich verfügbar
- Root-Zugriff auf den SAP-Server
- Ab hier: SAP-Systemdateien manipulieren, Berechtigungen ändern, Backdoors einbauen, Daten exfiltrieren
Microsoft hat bereits limitierte In-the-Wild-Aktivitäten beobachtet: Angreifer erlangen SSH-Zugriff, laden ein ELF-Binary namens ./update hoch, und eskalieren sofort mit su — ein Muster, das auf Dirty Frag hindeutet. Nach der Eskalation manipulieren sie LDAP-Authentifizierungsdateien, inspizieren PHP-Session-Dateien, und löschen Spuren.
Patches?
Der xfrm-ESP-Bug (CVE-2026-43284) wurde im Linux-Kernel mainline gepatcht (Commit f4c50a4034e6). Für das RxRPC-Problem (CVE-2026-43500) gibt es bisher keinen Patch.
Red Hat klassifiziert die Vulnerabilität als „Important“ (nicht Critical) und arbeitet an beschleunigten Fixes für RHEL 8/9/10 sowie OpenShift 4. SUSE hat bestätigt, dass alle SUSE-Virtualization-Versionen betroffen sind, und arbeitet an Kernel-Updates.
Ein komplettes Version-Matrix ist noch nicht verfügbar.
Was kann sofort gemacht werden?
Bis Patches verfügbar sind, empfehlen alle Distributionen, die betroffenen Kernel-Module zu blocklisten:
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null; trueAber: Das Blocklisten von esp4/esp6 bricht IPsec-Funktionalität. Und rxrpc bricht AFS-Client-Konnektivität. Wer IPsec für SAP-Site-to-Site-VPNs oder verschlüsselte Systemlandschaften nutzt, muss die Auswirkung evaluieren.
Alternative für RHEL: Unprivilegierte User-Namespaces deaktivieren (user.max_user_namespaces=0). Das blockt nur die ESP-Variante — RxRPC bleibt offen. Und rootless Container, Flatpak, und sandboxed Browser funktionieren nicht mehr.
Warum das relevant ist
Dirty Frag gehört zu einer Bug-Klasse, die mit Dirty Pipe (2022) begann: deterministische Logik-Bugs im Kernel, die keine Timing-Fenster brauchen, keine Race Conditions, und keine komplexe Exploit-Infrastruktur. Ein Local-User mit Shell-Zugriff reicht.
Für SAP-Systeme auf RHEL oder SUSE bedeutet das: Jeder kompromittierte Service-Account ist ein Root-Account. Jedes phishige SSH-Passwort ist ein System-Kompromittierung. Und das nicht theoretisch — der PoC ist öffentlich, die Attack Pattern sind dokumentiert, und erste In-the-Wild-Fälle sind bestätigt.
Das ist kein „wir prüfen das beim nächsten Patch-Day“-Problem. Es ist ein „welche SAP-Server haben heute noch die Module geladen“-Problem.