Het kan geen kwaad om te vermelden dat de workaround, het blokkeren van de kernel-modules esp4, esp6 en rxrpc, dezelfde is als voor Dirty Frag.

Enige nuance hierin de mitigation van dirty frag als in modules uitzetten werkt ook voor deze.
Dus zolang AFS, IPSec niet nodig is en je voert de vorige advisory door van dirty frag is er weinig aan de hand.

Ga er maar vanuit dat er nog meer komen die modules zijn laag hangend fruit en honestly als je het niet nodig hebt laad het gewoon niet in laat die mitigation actief.

Nou, mooi dat zoiets gevonden wordt. Gelukkig is de Linux community doorgaans snel met een fix - het zijn ook zelden echt spannende problemen (maar wel soms met grote gevolgen). Het zal komende week wel in de updates zitten.

Ik zou zeggen dat als de gevolgen groot (kunnen) zijn het probleem wel degelijk spannend is. Het kan inderdaad goed op iets van een week uitdraaien, als het niet sneller gaat. Ik zie dat bijvoorbeeld AlmaLinux gisteren meldde gepatchte kernels in testing te hebben.

Wat mij aan deze lekken opvalt is dat ze direct publiek gemaakt worden, de ontdekkers zijn kennelijk niet zo vriendelijk om de Linux-kernel en -distro-ontwikkelaars zelfs maar een week de tijd te geven om het te repareren voor het aan de grote klok wordt gehangen. Wat is er met responsible disclosure gebeurd?

IT is niet mijn professionele ding, maar ik ben een gewone geïnteresseerde computergebruiker, en ik snap daarom ook niet waar het verantwoordelijkheidsgevoel is van degenen die deze lekken ontdekken en - pats boem - aan de grote klok hangen. Deze is openbaar gepubliceerd op 13 mei. Gaat het hen alleen maar om de publiciteitsgeilheid? De veiligheid van de gebruiker is daaraan blijkbaar ondergeschikt. 'Nou fijn hoor!' Waarom kunnen die lekken niet eerst in besloten communicatie meegedeeld worden aan de betreffende softwareontwikkelaars (zo noem ik hen maar even; weet de juiste IT term niet) en zoals anoniem meldt pas een week later openbaar gemaakt?? Respectloos gedrag is het.

It's that time of year again :D
- copyfail (kernel-module algif_aead) https://github.com/Smarttfoxx/copyfail
- copyfail2 electric boogaloo (kernel-modules esp4, esp6 en rxrpc) https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo
- dirtyfrag (kernel-modules esp4, esp6 en rxrpc) https://github.com/V4bel/dirtyfrag/tree/master
- fragnesia (kernel-modules esp4, esp6 en rxrpc) https://github.com/v12-security/pocs/blob/main/fragnesia%2FREADME.md
- ssh-keysign-pwn (kernel-core, fixed in V2026-05-14) https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn

Snel een fix is leuk, maar voordat de fix geinstalleerd is, ben je vaak al heel wat tijd verder. \

Zeker met alle IOT devices.

Windows 11 vs Linux

Linux was in stijgende lijn en won aan populariteit door problemen met windows 11
en nu is het alle pijlen gericht op linux m.b.v AI die meer kwetsbaarheden vindt
maar overigens geldt dit voor alle software en niet alleen linux

Microsoft vs Linux voordeel voor microsoft maar het heeft uiteindelijk te maken met koersen en geld
met als resultaat verwarring,onzekerheid onder gebruikers om een overweging te maken toch weer een
ander os te gaan zoeken of te gebruiken,wat uiteindelijk weer winst voor microsoft kan zijn.

Wereld2026

https://nvd.nist.gov/vuln/detail/CVE-2026-46300 geeft CVE ID Not Found

De exploitable modules waar het om gaat liggen onder een vergrootglas de kans dat criminelen dus de vorige exploit gebruiken en ook de nieuwe variant vinden is hoog. Het probleem is dat het is ontstaan door juist de haastige patching dat maakt het ook omdat het al eigenlijk in disclore procedure zit belangrijk snel te fixen want laatste wat je wilt is een mitigation afmelden voor deze werkelijk werkt.Het is dus een fix op een fix om heel simpel uit te leggen.

Dus nee dit is niet respectloos gedrag dit is noodzaak.
Maar ik snap volledig dat als je niet begrijpt wat er eigenlijk gaande is dat het zo oogt.

Specifiek voor deze bugs weet ik het niet , maar in de kernel community is er de trend/voorstel dat bugs "gewoon" gevonden met AI zodanig "publiek" zijn dat ze niet (meer) speciaal behandeld worden .

Quote van Linus hier


Nu is dit nog in de discussie fase, maar de richting is heel duidelijk - als het "te makkelijk" was om te vinden wordt het niet als 'geheim' behandeld - en is de hoop dat geheim houden totdat er patches zijn ook niet meer reeel .
Er zit wat nuance in de voorstellen - crash is publiek, een volledig PoC exploit liever niet .


Ik vermoed dat dit cluster van verwante bugs allemaal in dezelfde set van modules mede vanwege deze filosofie relatief snel naar buiten komen.

Ook met het feit dat Linux broncode gewoon gedownload kan worden en tools dus heel snel bugs in de code kunnen vinden. Microsoft stelt die code NIET beschikbaar waardoor het vinden van bugs trial and error is. Voor de rest, de kernel code kan aangepast worden, maar als je favoriete distro geen haast heeft, dan zit je net als bij Microsoft te wachten tot de patch uitkomt.

Ik herinner me twee weken geleden op podcast en andere nieuwsites de twijfel of Anthropic werkelijk een AI had die lekken kon ontdekken. Men zag het vooral als een marketingtruk en er werd aan getwijfeld. Ik denk dat nu voelbaar wordt dat het serieus was en het regelt ondertussen overal aan het patchen van lekken. Soms weet je het niet en het likt er inderdaad op dat Anthropic de toon gezet heeft. We gaan dit denk ik nog een lange tijd zien.

Ik ben het er roerend mee eens dat bugs bugs zijn. Security bugs zijn doodgewone bugs waarvan op een gegeven moment duidelijk wordt dat ze misbruikt kunnen worden, vaak in combinatie met andere bugs, om beveiligingen te doorbreken. Je bent een hoop ellende voor door ze niet pas een hoge prioriteit te geven als duidelijk wordt hoe ze misbruikt kunnen worden, als het eigenlijk al te laat is dus.

Door AI gevonden bugs als publiek beschouwen, daar ben ik niet direct zo zeker van. In de jaren '90, voordat responsible disclosure was bedacht, waren er softwareleveranciers die echt geen donder deden tot ze de gevolgen van een beveiligingslek publiek voor hun kiezen kregen, zodat lekken in de openbaarheid gooien een middel was om iets veranderd te krijgen. Degenen die lekken zo openbaarden verdedigden dat typisch met het argument dat als zij het konden vinden een ander dat ook kon, en je kon beter weten wat er lek was dan dat het lek ongemerkt werd geëxploiteerd. Alleen werkte het toch beter om een lek even onder de pet te houden zodat kwaadwillenden pas op het bestaan ervan werden gewezen als er al een patch voor was.

Dat AI het zoeken vereenvoudigt, en openstelt voor mensen die zelf de benodigde vaardigheden niet hebben, dat op zich lijkt me een open deur. Er verschuift dus zeker iets. Of het zo extreem ligt dat het meteen zinloos is om het nog onder de pet te houden vind ik minder evident. Als je tegen zo'n AI-systeem simpelweg "heb je een lek voor me?" kan zeggen en werkelijk alles rolt er dan uit, dan staan alle sluizen volledig open. Als je als mens nog enige vaardigheid nodig hebt om gericht naar iets te zoeken is er nog steeds een drempel en wil je de meute nog steeds niet wijzen op waar de zwakke plek dan gevonden is tot er een patch beschikbaar is, lijkt me.

Mooi, dan wordt de balans inderdaad gezocht.

Dit kwam ik net tegen en is vermoedelijk onderdeel van diezelfde discussie:
https://www.theregister.com/oses/2026/05/11/linux-kernel-maintainers-pitch-emergency-killswitch-after-copyfail-and-dirty-frag-chaos/5237801
Dit is een voorstel, met een patch ervoor, om een killswitch in de kernel in te bouwen. Als een functie buggy blijkt te zijn kan je hem simpelweg uitschakelen (tot de volgende reboot). Niet door het laden van een module te blokkeren, het aanroepen van een specifieke kernel-functie wordt geblokkeerd, en wel direct. Dat werkt natuurlijk alleen voor functies die niet zo essentieel zijn dat je meteen het hele systeem ermee onderuit haalt.

Dat zou inderdaad heel goed kunnen. Als dit risico's voor je oplevert had je al maatregelen moeten nemen. Wat dat betreft komt dit dus neer op nog eens wijzen op maatregelen die al genomen hadden moeten zijn.

Even vooraf heel duidelijk gesteld:
Mijn hele leven tot nu ben ik, en zal ik nooit fan zijn van iemand of iets.
Ik ben geen fan van een popgroep, een automerk, van nacho chips etc. etc. etc.

Ook ben ik dus geen fan van Linux. Mijn OS is Linux mint en dat is alles. Zo saai ben ik.

Nu terug naar de opmerking van Torvald: Voor mij persoonlijk zie ik hier in de achtergrond dat de argeloze Linux gebruiker een proefaap, een guinea pig wordt die zich voortaan niet meer relatief veilig kan weten maar slechts kan wanen.
Want blijkbaar is er ineens iets op tegen om een gevonden securitybug in de eigen contreien geheim te houden.
Mijnheer Torvald gaat met zijn visie dus de argeloze gebruiker voor de wielen van het internettuig gooien.

En neen, ik ga dat dus niet anders zien. Ik blijf wel Mint gebruiken als OS maar houd van de politieke correctheid om securitybugs meteen te openbaren wel een behoorlijk wansmaak over.

Prima houding, en eerder genuanceerd dan saai.

Als je wat meneer Torvalds (met een s) allemaal vindt iets beter zou hebben gevolgd zou je het niet zo ongenuanceerd reduceren tot wat je nu zegt. Die is voor zover ik ooit heb opgemerkt nooit bezig geweest om Linux-gebruikers maar voor de wolven te gooien, al kan hij af en toe knap bot zijn in hoe hij zich uitdrukt. Gelukkig is deze uitspraak onderdeel van een discussie die gaande is over de impact van AI, en niet een onherroepelijk dictaat.

Het is verwant, maar niet precies dezelfde discussie.
De 'killswitch' is een voorstel voor een generieke "mitigatie" knop waarmee functies (die tot een compromise kunnen leiden) uitgeschakeld kunnen worden.

Het aardige van open source is dat niet alleen de code open is, maar ook de ontwikkeling van "beleid" , de opinies en inputs te volgen is .
De quote van Linus die ik gaf was één van reacties op een draft documentatie over security bugs - what is and what is not, en waar en hoe te rapporteren van Willy Tarreau .

Er is (nog steeds) een niet-publieke lijst voor (kernel) security bugs met een klein aantal top-maintainers die de bugs afhandelen, responsible disclosure coordineren etc .
Daar zit natuurlijk toch altijd al frictie over - een "gaat helemaal nergens over" bug vs een researcher die 'm voor credits maximaal wil uitmelken , een overload aan AI hallucinaties die plausibel klinken , dan veel tijd en aandacht kosten van heel schaarse mensen - en gewoon niet waar zijn.

Hetzelfde zien we al in andere OS projecten (bv curl ), waarin bug bounties gestopt worden vanwege de overload aan "AI slop" .https://tweakers.net/nieuws/243634/curl-stopt-met-bugbountyprogramma-door-ai-slop.html

De discussie op de kernel vat ik samen als :
"als het simpel en open en bloot genoeg is, gaan we niet doen alsof het geheim kan blijven" , en dan het zoeken naar redelijke criteria waar de grens ligt tussen "kan iedereen vinden die wat tokens voor een AI inzet" versus "dit vind je niet zomaar dus hier heeft 'onder de pet houden totdat de patch gecoordineerd is een kans" .

Afijn, boeiend om mee te lezen, voor wie wil volgen hoe dit soort keuzes zich ontwikkelen.

en nu miniplasma, om het lijstje aan te vullen: https://github.com/Nightmare-Eclipse/MiniPlasma

Het nadeel van Open Source is dat iedereen bugs kan vinden /s

Maar ze niet hoeft te melden....

De nabije toekomst zal vol met gevonden vulnerabilities zijn. AI maakt bounty hunten een stuk eenvoudiger.

Dit geeft wel ongeveer aan welke kant het opgaat. Niks is meer veilig.
https://fd.nl/tech-en-innovatie/1596805/ethische-hackers-ontdekken-met-ai-kritiek-lek-en-talloze-kwetsbaarheden-bij-overheid (maak een account aan voor 5 gratis artikelen)
Dat zal ook de reden zijn met AI ontdekte kwetsbaarheden direct openbaar te maken. Ze zijn waarschijnlijk ook al door anderen gevonden.
De "rat race" heeft een nieuwe dimensie gekregen.