Zum Inhalt springen

DirtyClone-Lücke (CVE-2026-43503) ermöglicht lokale Privilege Escalation auf Linux

Auf den Punkt: Die Linux-Lücke CVE-2026-43503 ermöglicht lokalen Angreifern Privilege Escalation zu Root durch Manipulation von Arbeitsspeicher bei der Netzwerk-Paketverarbeitung, hinterlässt keine Spuren und ist besonders kritisch in Container- und Multi-Tenant-Umgebungen.

Sicherheitsforscher von JFrog haben einen funktionierenden Exploit für die Linux-Kernel-Schwachstelle DirtyClone veröffentlicht, die lokalen Angreifern Root-Zugriff ermöglicht. Die Lücke (CVSS 8,8) nutzt fehlerhafte Zero-Copy-Netzwerk-Verarbeitung, um Speicherschutzflags zu übergehen und sensible Systemdateien im RAM zu manipulieren.

Die CVE-2026-43503 ist Teil der DirtyFrag-Familie von Kernel-Schwachstellen und entsteht beim internen Kopieren von Netzwerkpaketen: Die Kernel-Hilfsfunktionen verlieren dabei ein Sicherheits-Flag, das markiert, welche Speicherbereiche mit Dateien auf der Festplatte geteilt sind. Dies erlaubt lokalen Angreifern, die Integritätsprüfungen zu umgehen.

Der Angriffsablauf sieht wie folgt aus: Ein Angreifer lädt eine privilegierte Binärdatei wie su in den Arbeitsspeicher, bindet diese Speicherseiten in ein Netzwerkpaket ein und zwingt den Kernel zum Klonen. Passiert das geklonte Paket einen von dem Angreifer kontrollierten IPsec-Tunnel, überschreibt der Entschlüsselungsschritt Login-Prüfungen direkt im RAM. Weil die ursprüngliche Datei auf der Festplatte unangetastet bleibt, erkennen Integrity-Tools (wie Aide oder Tripwire) die Veränderung nicht. Der Angriff erzeugt keine Protokolleinträge und wird durch einen Neustart automatisch rückgängig gemacht.

Für die Ausnutzung benötigt der Angreifer bestimmte Netzwerkrechte zur Konfiguration eines Loopback-IPsec-Tunnels. Bei Debian und Fedora können unprivilegierte Nutzer diese Rechte selbst in einem eigenen User-Namespace erzeugen. Ubuntu ab 24.04 schränkt dies durch AppArmor ein und blockiert damit den Standard-Exploitpfad. Besonders kritisch ist die Schwachstelle in Multi-Tenant-Umgebungen, CI/CD-Systemen, Container-Hosts und Kubernetes-Clustern, da der Seitencache auf Host-Ebene geteilt wird und Änderungen alle Systemprozesse betreffen.

DirtyClone ist die vierte dokumentierte Schwachstelle dieser Art innerhalb kurzer Zeit; Vorgänger sind Copy Fail, DirtyFrag und Fragnesia. Die Wurzel liegt in der fehlerhaften Handhabung des Zero-Copy-Networking im Kernel – jeder Code-Pfad beim Transfer von Fragmenten muss das Sicherheits-Flag korrekt weitergeben.

Ein umfassender Patch ist seit 21. Mai 2026 im Linux-Kernel integriert und mit Kernel-Version v7.1-rc5 verfügbar. Rückports sind bereits in stabile LTS-Zweige eingegangen. Ubuntu, Debian und SUSE haben Sicherheitswarnungen ausgegeben. Bis zum Kernel-Update lässt sich die Angriffsfläche durch zwei Maßnahmen reduzieren: Deaktivierung unprivilegierter Benutzernamensräume via Kernel-Variable oder Blacklisten der Module esp4, esp6 und rxrpc, sofern diese als ladbare Module vorliegen.


Quelle: www.it-daily.net · Erschienen 29. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: