Dirty Frag
Entdeckt: Ende April 2026
Veröffentlicht: 7.Mai 2026
Stufe: kritisch
Art der Lücke:
Grob gesagt können lokale Angreifer durch Rechteeskalation Adminrechte erhalten und damit auf das System oder Benutzer zugreifen.
Wer ist betroffen:
Alle Systeme die folgende Module nutzen.
esp4/esp6/rxrpc
Also die meisten gängigen Linux-Distributionen
Bin ich betroffen:
ESP-Komponente: Kernel >= 4.11 seit Januar 2017
RxRPC-Komponente: Kernel >= 6.5 seit Juni 2023
prüfen meiner Kernel-Version mit: uname -r
Das Scheunentor prüfen:
lsmod | grep -E 'esp4|esp6|rxrpc'
wenn hier nichts wie Modulname steht endet dein Test hier und du bist save.
Aber die Module könnten durch nachträglichem laden dieser esp4.... angreifbar werden. Bedenke dieses.
Patch:
Da die Lücke (Ende April 2026 gefunden) von Dritten zu früh geleakt wurde, es gab eine Absprache mit den Entwicklern dies bis 12.Mai nicht zu tun, hinkt ein Patch hinterher. Man geht aber davon aus, dass es schnellstmöglich gefixt wird.
Die meisten Distributoren haben schon reagiert und einen Patch veröffentlicht. Ubuntu, Red Hat sowie AlmaLinux zum Beispiel.
Ein Traum wenn das Microsoft so fix hinbekommen würde. Seitenhieb Ende 
vorübergehende Problemumgehung:
Das entladen/blacklisten der betroffenden Module.
Für ein temporäre entladen der Module:
sudo modprobe -r esp4 esp6 rxrpc
Für blacklisten folgende Datei erstellen und bescheiben:
echo -e "install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false" | sudo tee /etc/modprobe.d/dirtyfrag.conf
Neustart
Cache leeren:
sudo sync
sudo sysctl -w vm.drop_caches=3
Rückgängig machen wenn nötig
Module wieder landen wenn benötigt:
ls /etc/modprobe.d/
wenn vorhanden dirtyfrag.conf löschen mit...
sudo rm /etc/modprobe.d/dirtyfrag.conf
Neuladen der Module:
sudo modprobe esp4
sudo modprobe esp6
sudo modprobe rxrpc
Neustart
Quellen: