En ny, allvarlig sårbarhet i Linux-kärnan kallad "Dirty Frag" gör det möjligt för en vanlig användare att få root-åtkomst på de flesta Linux-distributioner. Sårbarheten, som beskrivs som en efterföljare till den nyligen utnyttjade Copy Fail (CVE-2026-31431), kräver ingen race condition och har en mycket hög framgångsfrekvens.

Hur Dirty Frag fungerar

Dirty Frag kedjar samman två separata sårbarheter i Linux-kärnans nätverkssubsystem:

• xfrm-ESP Page-Cache Write — en brist i IPSec-subsystemet som introducerades i en commit från januari 2017
• RxRPC Page-Cache Write — en brist som introducerades i juni 2023

Genom att kombinera de två sårbarheterna täcker exploiten varandras blinda fläckar. På system där skapande av user namespaces är tillåtet körs ESP-exploiten. På Ubuntu, där det är blockerat men rxrpc-modulen finns inbyggd, fungerar RxRPC-varianten istället.

"Dirty Frag är en deterministisk logikbugg som inte beror på ett tidsfönster. Ingen race condition krävs, kärnan panikerar inte om exploiten misslyckas, och framgångsfrekvensen är mycket hög," skriver säkerhetsforskaren Hyunwoo Kim som upptäckte sårbarheten.

Vilka system påverkas

Sårbarheten påverkar bland annat Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 och Fedora 44. Microsoft har bekräftat att sårbarheten utnyttjas aktivt.

Vad du kan göra

Red Hat rekommenderar att blockera de sårbara modulerna (esp4, esp6, rxrpc) samt att inaktivera oprivilegierade user namespaces som en tillfällig åtgärd. Notera att detta kan påverka rootless containers och sandboxade webbläsare.

Sårbarheten rapporterades till Linux-kärnans underhållare den 30 april 2026, men embargot bröts när detaljerad information publicerades av en tredje part.

Källa: The Hacker News, Microsoft Security Blog