Das Fundament wankt: Lücken im OS

Linux-Schwachstellen wie "Copy Fail" und "Dirty Frag" bringen kritische Infrastruktur in Gefahr.

May 12, 2026

Einleitung: Es ist nicht immer die Software

In der IT-Sicherheit konzentrieren wir uns oft auf die „oberste Schicht“: unsichere Webanwendungen, veraltete Plugins oder schwache Passwörter. Doch was passiert, wenn das Fundament selbst – das Betriebssystem – Risse bekommt?

Gerade Linux, welches als das sicherste Rückgrat der modernen Welt gilt, steht aktuell stark im Visier. Zwei neue Schwachstellen, bekannt als Copy Fail und Dirty Frag, zeigen eindrucksvoll: Nicht nur Software ist unsicher, auch das Betriebssystem (OS) birgt fundamentale Risiken.

Wenn das OS zum Sicherheitsrisiko wird

Es herrscht oft der Glaube, dass ein gehärteter Linux-Server in einer DMZ (Demilitarized Zone) nahezu unverwundbar sei, solange die darauf laufenden Dienste (wie Webserver oder Datenbanken) sicher sind. Die Realität sieht anders aus. Wenn das Betriebssystem Schwachstellen in seinen Kernfunktionen – dem Kernel – aufweist, nützt auch die sicherste Anwendung darüber wenig.

Dies macht auch das Patching schwierig da nicht jedes Unternehmen High Availability in der DMZ umgesetzt hat, zumal das meist auch gar nicht möglich ist. Somit kommt es beim Patching des OS zu einem Ausfall der externen Schicht.

Linux treibt heute fast alles an: von Cloud-Clustern über 5G-Netze bis hin zur kritischen Infrastruktur (KRITIS) in Kraftwerken oder Krankenhäusern. Ein lokaler Zugriff auf einen unprivilegierten Account reicht oft aus, um durch OS-Lücken die totale Kontrolle zu übernehmen.

Die neuen Bedrohungen: Copy Fail & Dirty Frag

Zwei jüngst entdeckte Schwachstellen verdeutlichen, wie Angreifer das Gedächtnis des Kernels manipulieren können.

1. Copy Fail (CVE-2026-31431)

Diese Schwachstelle betrifft das kryptografische Subsystem des Linux-Kernels (algif_aead). Durch einen Logikfehler kann ein normaler Benutzer ohne Root-Rechte kontrollierte Daten direkt in den sogenannten Page Cache schreiben.

  • Das Problem: Der Page Cache speichert Daten, die von der Festplatte gelesen werden. Manipuliert ein Angreifer diesen Cache, kann er beispielsweise Systemdateien (wie /etc/passwd) im Speicher verändern, während das System glaubt, sie seien legitim.
  • Die Folge: Eine zuverlässige Eskalation von Benutzerrechten zu Root-Rechten – ganz ohne komplizierte „Race Conditions“.

2. Dirty Frag (CVE-2026-43284 / CVE-2026-43500)

Dirty Frag ist die konsequente Weiterentwicklung von Lücken wie „Dirty Pipe“. Hier werden Schwachstellen im IPsec-Subsystem (ESP) und dem RxRPC-Protokoll kombiniert.

  • Der Mechanismus: Angreifer nutzen die Art und Weise aus, wie der Kernel Netzwerkpakete entschlüsselt. Auch hier wird der Page Cache korrumpiert.
  • Das Risiko: Da IPsec oft für VPNs und sichere Kommunikation in kritischen Netzen genutzt wird, ist die Angriffsfläche hier besonders sensibel. Ein Angreifer, der einmal einen Fuß in der Tür hat (z. B. über eine kompromittierte Applikation), wird sofort zum System-Administrator.

Linux in der DMZ: Ein falsches Sicherheitsgefühl?

Linux-Server stehen bevorzugt in DMZs, um das interne Netzwerk vor dem Internet zu schützen. Doch gerade hier ist die Gefahr durch „Local Privilege Escalation“ (LPE) massiv:

  1. Einstieg: Ein Hacker findet eine Lücke in einer Web-App (z. B. SQL Injection oder Remote Code Execution).
  2. Der lokale Fuß: Er erhält Zugriff als Web-User (z. B. www-data). Normalerweise ist er hier in einer Sandbox gefangen.
  3. Der Ausbruch: Dank Copy Fail oder Dirty Frag bricht er aus dieser Sandbox aus und übernimmt den kompletten Kernel.
  4. Die Katastrophe: Mit Root-Rechten kann er den gesamten Netzwerkverkehr der DMZ mitschneiden, Passwörter extrahieren und tiefer in die kritische Infrastruktur vordringen.

Fazit: Verteidigung in der Tiefe (Defense-in-Depth)

Der Mythos des „unfehlbaren Linux“ muss weichen. Für Betreiber kritischer Infrastrukturen bedeutet das:

  • Patch-Management ist OS-Management: Kernel-Updates dürfen nicht monatelang warten. Betreiben Sie auch niemals ein end-of-life System in der DMZ.
  • Minimalismus: Deaktivieren Sie nicht benötigte Kernel-Module (wie algif_aead oder esp4/6), wenn sie nicht gebraucht werden.
  • Überwachung: Achten Sie auf untypische Zugriffe auf System-Binaries (wie su oder pkexec).

Sicherheit beginnt nicht bei der Applikation – sie beginnt beim Kernel.

Quellen und weiterführende Informationen

Wir legen Wert auf Transparenz und fundierte Recherche. Für diesen Beitrag wurden folgende Quellen herangezogen:

Primärquellen & Technische Analysen
Distributionen & Sicherheits-AdvisoriesRed Hat Customer Portal – CVE-2026-43284 (Dirty Frag)

Thema: Offizieller Statusbericht für RHEL-Nutzer und Anleitung zur Deaktivierung der betroffenen Module (esp4, esp6, rxrpc).

Link zu Red Hat

The Hacker News – Dirty Frag Übersicht

Thema: Zusammenfassung der Entdeckung durch den Forscher Hyunwoo Kim (@v4bel) und die Auswirkungen auf Ubuntu und Co.

Link zu The Hacker News

Plesk Support – Sicherheitswarnung

Thema: Praktische Anleitung für Server-Administratoren zum Patchen und zur temporären Absicherung gegen Dirty Frag.

Link zu Plesk Support

Microsoft Security Blog – Copy Fail (CVE-2026-31431)

Thema: Detaillierte Untersuchung der „Copy Fail“-Lücke, die zeigt, wie Millionen von Cloud-Workloads und Kubernetes-Cluster betroffen sind.

Link zum Microsoft Blog

Microsoft Security Blog – Dirty Frag (CVE-2026-43284)

Thema: Analyse der aktiven Angriffe durch „Dirty Frag“ und wie die Lücke zur Eskalation nach einem initialen Zugriff genutzt wird.

Link zum Microsoft Blog

ExtraHop Technical Write-up – Copy Fail

Thema: Ein tiefer technischer Einblick in den Logikfehler des Kernels und wie der Page Cache manipuliert wird.

Link zu ExtraHop

Palo Alto Networks (Unit 42) – Copy Fail

Thema: Zusammenfassung der Bedrohungslage und warum die 732-Byte-Exploits so gefährlich für Unternehmen sind.

Link zu Unit 42