Wie auch bei Copy Fail vor einigen Tagen, handelt es sich bei Dirty Flag um eine Rechteausweitung. Dieses mal werden die Page-Cache Seite im Arbeitsspeicher für von Datein wie /etc/passwd oder /usr/bin/su - auf die Benutzer eigentlich nur Leserechte haben - manipuliert.

Dabei werden gleich zwei Sicherheitslücken ausgenutzt, die Lücken in xfrm-ESP und RxRPC betreffen, welche beide eine Page-Cache-Schreib-Schwachstelle aufweisen.

Betroffen sind zumindest folgende aktuelle Distributionen/Versionen:

• - Ubuntu 24.04.4 (Kernel 6.17.0-23-generic)
• - RHEL 10.1 (Kernel 6.12.0-124.49.1.el10_1.x86_64)
• - openSUSE Tumbleweed (Kernel 7.0.2-1-default)
• - CentOS Stream 10 (Kernel 6.12.0-224.el10.x86_64)
• - AlmaLinux 10 (Kernel 6.12.0-124.52.3.el10_1.x86_64)
• - Fedora 44 (mit Kernel 6.19.14-300.fc44.x86_64)

Es ist aber davon auszugehen, dass auch andere Distributionen - wie Oracle Linux - und ältere Versionen betroffen sind.

Als Workaround, bis es Kernel Fixes gibt, nennt der Entdecker (in einer Zeile!):

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Der Entdecker dieser Lücke liefert auch einen Vorschlag für einen Quellcode Patch, der jedoch erst geprüft werden muss.

Zum aktuellen Zeitpunkt gibt es noch keine CVE oder Information wann es Kernel Patches geben wird, es ist jedoch davon auszugehen, dass diese in wenigen Tagen zur Verfügung stehen werden.

Wer jetzt deckt: "Gut, dass wir Windows einsetzen!" irrt sich gewaltig!

Ja, es ist die dritte Security Lücke im Linux Kernel innerhalb von zwei Wochen, aber in der Regel sind diese nach wenigen Tagen gefixed. Für Windows gibt es aktuell drei Zero-Day Schwachstellen: RedSun, UnDefend und BlueHammer - alle drei sind seit über 3 Wochen ungepatched!

Weitere Informationen finden Sie bei Heise.