Nieuws
image

Dirty Frag-lek in Linux maakt lokale aanvaller root op meeste distributies

vrijdag 8 mei 2026, 10:53 door Redactie, 22 reacties
Laatst bijgewerkt: Vandaag, 11:43

Een nieuwe kwetsbaarheid in Linux met de naam Dirty Frag maakt lokale aanvallers op meeste distributies root. Volgens de ontdekker van het probleem zijn er nog geen updates beschikbaar. Op Hacker News melden lezers dat het erop lijkt dat er inmiddels fixes voor de Linux-kernel zijn verschenen. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. Het probleem raakt vooral multi-tenant Linux omgevingen en shared-kernel containers.

De kwetsbaarheid lijkt op de recent ondekte Copy Fail-kwetsbaarheid. Dit beveiligingslek was ook de reden voor onderzoeker Hyunwoo Kim om zijn onderzoek te doen. Copy Fail bevindt zich in de algif_aead module van de Linux-kernel. Systemen die maatregelen tegen Copy Fail hebben genomen zijn nog steeds kwetsbaar voor Dirty Frag, zo stelt de onderzoeker, omdat zijn aanval niet vereist dat de kwetsbare algif_aead module beschikbaar is. De Dirty Frag-aanval succesvol is getest op Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed 7.0.2, CentOS Stream 10, AlmaLinux 10, Fedora 44.

Kim merkt op dat het embargo over de bekendmaking van de kwetsbaarheid is geschonden. Daarop heeft hij besloten de details en proof-of-concept exploitcode te publiceren. Patches zijn echter voor nog geen enkele distributie beschikbaar, aldus de onderzoeker. Die adviseert gebruikers om de modules waarin de twee kwetsbaarheden aanwezig zijn te verwijderen en de page cache op te schonen. Op Hacker News melden lezers dat erop lijkt dat voor de verschillende Linux-kernels inmiddels fixes zijn verschenen.

Reacties (22)
Reageer met quote
Vandaag, 11:06 door Anoniem
Ernstig lek.
En die Linux machines hebben natuurlijk ook vaak geen malware scanner, dus die komen er nooit achter of ze gehacked zijn.
Reageer met quote
Vandaag, 11:09 door Anoniem
Tijd dat ze zich eens druk gaan maken om Python. Ik breek met Python installed uit elke useraccount. Iedereen met een beetje kennis van zaken weet dit.

Wat gaan ze daar tegen doen? Want dat is al decennia zo....
Reageer met quote
Vandaag, 11:24 door Anoniem
Geef je persoonlijke priveleven niet
weg aan de TPM2.0,angst is niet de weg,
om toch maar weer windows te gebruiken.

Wereld2026
Reageer met quote
Vandaag, 11:26 door Anoniem
Net zoals bij de copy fail aanval moet je PC al fysiek gecompromiteerd zijn. (In slechte handen)
Juist om deze reden en meer gebruik ik LUKS full-disk versleuteling.
Reageer met quote
Vandaag, 11:50 door Anoniem
Het probleem raakt vooral multi-tenant Linux omgevingen en shared-kernel containers.
Ook hier geldt Linux desktop of workstation is niet kwetsbaar omdat je de enige gebruiker bent en je geen externe dienst levert.
Reageer met quote
Vandaag, 11:51 door Anoniem
Als je het dirty flag linkje in het artikel volgt, zie je oa. een update melding.


2026-05-08 Update:

The xfrm-ESP Page-Cache Write vulnerability has been assigned CVE-2026-43284 and patched in mainline.

The RxRPC Page-Cache Write vulnerability has been reserved as CVE-2026-43500 for tracking; no patch exists in any tree yet.
Reageer met quote
Vandaag, 11:52 door Anoniem
Door Anoniem: Net zoals bij de copy fail aanval moet je PC al fysiek gecompromiteerd zijn. (In slechte handen)
Juist om deze reden en meer gebruik ik LUKS full-disk versleuteling.
Of er moet low priviledged malware op draaien?
Reageer met quote
Vandaag, 11:53 door Anoniem
Als je de esp4, esp6 en rxrpc modules uitschakelt ben je ook veilig. Dit kan door ze uit de kernel te halen of door de modules niet te laten laden.
Reageer met quote
Vandaag, 11:55 door tuxick
Door Anoniem: Tijd dat ze zich eens druk gaan maken om Python. Ik breek met Python installed uit elke useraccount. Iedereen met een beetje kennis van zaken weet dit.

Wat gaan ze daar tegen doen? Want dat is al decennia zo....
Het is niet de schuld van python.
Reageer met quote
Vandaag, 11:57 door Anoniem
Wat ik niet helemaal begrijp is dat dit 8 dagen geleden aan de kernel maintainers is gemeld en het nu al op gepubliceerd is.
Wie heeft nu eigenlijk het embargo over de bekendmaking van de kwetsbaarheid geschonden?
Reageer met quote
Vandaag, 12:09 door Anoniem
Door Anoniem: Ernstig lek.
En die Linux machines hebben natuurlijk ook vaak geen malware scanner, dus die komen er nooit achter of ze gehacked zijn.
Klopt, malware scanners zijn namelijk zelf meestal het probleem ivm admin rechten. Beter is zo iets als https://www.redhat.com/en/lightspeed
Reageer met quote
Vandaag, 12:17 door Anoniem
Door Anoniem: Wat ik niet helemaal begrijp is dat dit 8 dagen geleden aan de kernel maintainers is gemeld en het nu al op gepubliceerd is.
Wie heeft nu eigenlijk het embargo over de bekendmaking van de kwetsbaarheid geschonden?
Iemand is boos geweest. Dat gebeurd vaker. Zie ook deze waar ik net over verbaasd was: https://www.forbes.com/sites/daveywinder/2026/04/08/1-billion-microsoft-users-warned-as-angry-hacker-drops-0-day-exploit/
Reageer met quote
Vandaag, 12:35 door Anoniem
Door Anoniem: Ernstig lek.
En die Linux machines hebben natuurlijk ook vaak geen malware scanner, dus die komen er nooit achter of ze gehacked zijn.

Ja, Een ernstig lek als de aanvaller achter m'n computer zit. Inderdaad... Ik schop die aanvaller dan zo lek dat hij nooit meer zonder mijn toestemming m'n huis binnenkomt.

Dus doe niet zo druk met je "ernstig lek". Allemachtig! In de titel van het bericht kon je al lezen dat het een lokale aanvaller moet zijn die dat lek exploiteert. Dus inderdaad, iemand die met zijn gat op mijn bureaustoel zit!

Overigens:
Het zal me niets verbazen als de opmerking 'ernstig' weer uit het altijd door kwetsbaarheden hevig geteisterde Microsoftkamp komt.

Ga je maar ernstig druk maken over 12 mei a.s. (Patch Tuesday) Op https://www.askwoody.com/ staat de waarschuwing vandaag, 8 mei, voor de zoveelste keer op 2.
(1 is het hoogste onbetrouwbaarheidsniveau)
Reageer met quote
Vandaag, 12:53 door Anoniem
Door Anoniem: Net zoals bij de copy fail aanval moet je PC al fysiek gecompromiteerd zijn. (In slechte handen)
Juist om deze reden en meer gebruik ik LUKS full-disk versleuteling.

LUKS gaat je hier niet helpen. als iemand binnen kan komen kan hij ook root worden en dan kan je versleutelen wat je wil. de machine staat aan en dus ontsleutelt voor een root user toegankelijk.
Wel moet er al user toegang zijn wil je iets kunnen uithalen.
Reageer met quote
Vandaag, 12:56 door Anoniem
Door Anoniem: Ernstig lek.
En die Linux machines hebben natuurlijk ook vaak geen malware scanner, dus die komen er nooit achter of ze gehacked zijn.

Waarom niet ?
Door Anoniem: Tijd dat ze zich eens druk gaan maken om Python. Ik breek met Python installed uit elke useraccount. Iedereen met een beetje kennis van zaken weet dit.

Wat gaan ze daar tegen doen? Want dat is al decennia zo....

Blijkbaar geen idee waar je het overhebt.
Dan moet je ook bash en andere shells en script talen er uit slopen. Python is niet de oorzaak van het probleem. dit kan met elke script taal gedaan worden.
Reageer met quote
Vandaag, 12:56 door Anoniem
Door Anoniem: Net zoals bij de copy fail aanval moet je PC al fysiek gecompromiteerd zijn. (In slechte handen)
Juist om deze reden en meer gebruik ik LUKS full-disk versleuteling.
Leuk voor een desktop. Maar voor webservers heeft dit weinig nut.

Je onderschat overduidelijk copy fail
Reageer met quote
Vandaag, 13:04 door meidoorn - Bijgewerkt: Vandaag, 13:04
Ja, Een ernstig lek als de aanvaller achter m'n computer zit.
Achter een computer zitten vind ik minder erg, dan er vóór zitten.. :-))
Reageer met quote
Vandaag, 13:11 door Anoniem
Waarom heeft iedereen het over dat je fysieke toegang moet hebben of achter je desktop, laptop moet zitten...

Eveneens haalt LUKS full disk encryption niks uit als je systeem aan staan en ontgrendeld is dus alleen als uit staat heb je iets aan fde. Maar als je systeem uit staat kun je deze exploit ook niet draaien...

Linux wordt wereldwijd toch gebruikt als server? Hier maken meestal meerdere of een veelvoud aan gebruikers gebruik van en hebben dus een "lokaal" account. Dus om te zeggen dat dit niet zo kritisch is lijkt me een beetje een simplistische redenering of zie ik dit nu verkeerd?
Reageer met quote
Vandaag, 13:21 door Anoniem
Ik gebruik Linux Ubuntu 26.4 LTS, maar daar is het lek niet aanwezig.
Reageer met quote
Vandaag, 13:47 door Anoniem
man man man.

We hebben hier weer een stel "experts" bij elkaar.

Stroming : "het is voor mij veilig want ik doe helemaal niks ermee" .
Lekker hoor. Mijn backup CD met Windows 95 in de kast betekent dan zeker dat "Windows 95 veilig is"

En dan de misvatting dat "lokale access" betekent "moet op het fysieke toetsenbord zitten ".
Dat is toch echt om te huilen , juist voor "Unix liefhebbers" , want back in the day was het leuke sellingpoint dat je met Unix helemaal niet verplicht was om naast de computer te zitten waarop je dingen draaiden , omdat je gewoon remote kunt inloggen, volledig grafisch (X terminal/X display) .

En wat zit hier - stelletje Linux fanboys die denken dat "lokaal" betekent "persoon staat naast mijn computer".

Nee kiddo's - lokaal betekent alleen maar "user proces dat op de kwetsbare computer draait kan root-rechten verkrijgen" .

Maakt niet uit waar of hoe vaar de aanvaller zit , als die maar een user proces iets kan laten doen .
Meestal is dat een "ingelogde gebruiker" , mag gewoon via SSH zijn.

En soms is het aanvaller die de gebruiker een stukje code laat cut-pasten , zoals (zelfs) developers nog recent overkwam.
Reageer met quote
Vandaag, 14:04 door _R0N_
Door Anoniem: Net zoals bij de copy fail aanval moet je PC al fysiek gecompromiteerd zijn. (In slechte handen)
Juist om deze reden en meer gebruik ik LUKS full-disk versleuteling.

Niet echt, een foute website waar je een scriptje kunt uploaden en uitvoeren is voldoende. Je moest eens weten hoeveel websites zo'n mooie upload module gebruiken.
Reageer met quote
Vandaag, 14:06 door _R0N_
Door Anoniem: Wat ik niet helemaal begrijp is dat dit 8 dagen geleden aan de kernel maintainers is gemeld en het nu al op gepubliceerd is.
Wie heeft nu eigenlijk het embargo over de bekendmaking van de kwetsbaarheid geschonden?

Iemand heeft het embargo geschonden, dat is ook naar buiten gebracht..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components