Dirty Frag-lek zet Linux op scherp: Directe root-toegang mogelijk
Slechts een week na de ontdekking van de ‘Copy Fail’-bug, is de Linux-community opgeschrikt door een tweede, eveneens kritieke kwetsbaarheid: ‘Dirty Frag’. Het lek, dat wordt getrackt onder CVE-2026-43284 en CVE-2026-43500, stelt ongeautoriseerde gebruikers in staat om binnen enkele seconden volledige controle (root-rechten) over een systeem te krijgen. Omdat er inmiddels werkende exploit-code op internet circuleert, is de noodzaak om te updaten extreem hoog.
Andrew Lukoshko, Lead Architect bij AlmaLinux, luidde online op AlmaLinux de noodklok nadat onderzoeker Hyunwoo Kim het lek publiekelijk maakte. "Dirty Frag levert direct root-toegang op alle grote Linux-distributies," waarschuwt Lukoshko. "Als u AlmaLinux draait op een systeem waar niet-vertrouwde gebruikers toegang hebben tot een shell, zoals in een container-omgeving of op een gedeelde host, dan is dit lek van cruciaal belang."
Wat is Dirty Frag?
De kwetsbaarheid bevindt zich diep in de Linux-kernel, specifiek in de onderdelen die gaan over IPsec ESP (beveiligde netwerkverbindingen) en rxrpc. De fout ontstaat wanneer de kernel gegevens direct probeert te ontsleutelen in geheugenruimtes die niet volledig onder controle van de kernel staan.
Hierdoor kan een proces zonder speciale rechten gegevens in het geheugen corrupt maken of meelezen op een manier die de beveiliging van de kernel volledig omzeilt. De kwetsbaarheid bestaat uit twee delen:
- CVE-2026-43284: Het IPsec ESP-gedeelte.
- CVE-2026-43500: Het rxrpc-gedeelte.
Embargo verbroken: Exploits in omloop
Wat deze situatie extra gevaarlijk maakt, is dat de informatie over het lek naar buiten kwam voordat de verschillende Linux-distributeurs gezamenlijk een fix konden coördineren. Er zijn inmiddels al twee verschillende manieren (exploits) openbaar gemaakt om misbruik te maken van het lek, waarvan één onder de sarcastische naam “Copy Fail 2: Electric Boogaloo”.
Doordat de ‘handleiding’ om in te breken al op straat ligt terwijl veel systemen nog niet zijn bijgewerkt, spreken beveiligingsexperts van een zeer dreigende situatie voor multi-tenant systemen, CI-runners en build-farms.
AlmaLinux neemt voorsprong op Red Hat
In een ongebruikelijke stap heeft het team van AlmaLinux besloten niet te wachten op de officiële patches van Red Hat (RHEL). De technische adviesraad van AlmaLinux, ALESCo, heeft besloten om de upstream fixes van de Linux-kernel direct te backporten naar alle ondersteunde versies van AlmaLinux.
"Beveiliging is onze hoogste prioriteit," aldus Lukoshko. "Gezien de ernst van dit lek en het gemak waarmee het misbruikt kan worden, wilden we niet wachten." De gepatchte kernels zijn inmiddels beschikbaar in de testing repositories van AlmaLinux. Zodra de community heeft bevestigd dat de patches stabiel zijn, zullen ze direct naar de productie-omgevingen worden gepusht.
Advies voor beheerders
Systeembeheerders wordt dringend geadviseerd om de ontwikkelingen nauwgezet te volgen. Voor wie niet kan wachten op de officiële release, is het mogelijk om de kernel nu al te testen via de test-omgeving van AlmaLinux. Zodra de definitieve updates beschikbaar zijn, is een herstart van het systeem noodzakelijk om de nieuwe, veilige kernel te activeren.
In het kort:
- Lek: Dirty Frag (CVE-2026-43284 & CVE-2026-43500).
- Impact: Directe root-toegang voor ongeautoriseerde gebruikers.
- Status: Werkende exploits zijn publiekelijk beschikbaar.
- Oplossing: Patches zijn nu beschikbaar voor tests bij AlmaLinux; productievolgt spoedig.
Meer over Open Source
Over Witold Kepinski
