Linux‑kernel‑sårbarhed giver root‑adgang på tværs af store distributioner

Eskil Sørensen

05.08.2026 11:03

Ny lokal privilege escalation‑fejl kaldet Dirty Frag kan udnyttes deterministisk til at opnå root‑adgang og rammer de fleste større Linux‑distributioner.

Der er afdækket en ny, endnu upatchet lokal privilege escalation‑sårbarhed i Linux‑kernen, som gør det muligt for en uprivilegeret bruger at opnå root‑adgang. Sårbarheden, der er døbt Dirty Frag, er rapporteret til kernel‑maintainere den 30. april 2026. Det skriver The Hacker News.

Dirty Frag beskrives som en videreudvikling af Copy Fail (CVE‑2026‑31431) og tilhører samme fejlklasse som tidligere Dirty Pipe. Ifølge sikkerhedsforsker Hyunwoo Kim kan sårbarheden udnyttes med høj pålidelighed, uden race conditions og uden at udløse kernel panic ved fejl.

Angrebet opnår root‑adgang ved at kombinere to page‑cache‑write‑fejl: én i xfrm‑ESP (IPsec‑subsystemet) og én i RxRPC. Sammen gør de det muligt at overskrive data i kernelens page cache og dermed eskalere privilegier.

Rammer de fleste distributioner

En vellykket udnyttelse giver root‑adgang på en lang række udbredte distributioner, herunder Ubuntu 24.04.4, RHEL 10.1, Fedora 44, AlmaLinux 10, CentOS Stream 10 og openSUSE Tumbleweed.

xfrm‑ESP‑fejlen kræver som udgangspunkt adgang til at oprette user namespaces, hvilket Ubuntu blokerer via AppArmor. Her kan RxRPC‑varianten i stedet anvendes, da den ikke kræver namespaces – og fordi rxrpc‑modulet er indlæst som standard på Ubuntu. Kombinationen gør, at de to exploits dækker hinandens begrænsninger.

Sårbarheden har endnu ikke fået et CVE‑nummer, efter at et embargo‑forløb blev brudt, da detaljer og exploit‑kode for xfrm‑ESP‑delen blev offentliggjort af tredjepart.

PoC offentliggjort – midlertidig afværgning

Der er allerede frigivet en fungerende proof‑of‑concept, som kan give root‑adgang med én kommando. Indtil officielle patches foreligger, anbefales det at forhindre indlæsning af esp4, esp6 og rxrpc‑modulerne.

Dirty Frag kan udnyttes, selv om kendte Copy Fail‑afværgninger er implementeret, og uanset om algif_aead‑modulet er aktiveret.

Sårbarheden understreger, at hele klassen af page‑cache‑write‑fejl fortsat udgør et alvorligt og vedvarende problem i Linux‑kernen – særligt når deterministiske exploits med høj succesrate bliver offentligt tilgængelige.

Læs mere

https://thehackernews.com/2026/05/linux-kernel-dirty-frag-lpe-exploit.html

Sårbarhed