CopyFail und Dirty Frag – zwei kritische Linux-Sicherheitslücken

Stand: 9. Mai 2026. Für Dirty Frag fehlen bei den meisten Distributionen noch vollständige Patches. Die in diesem Artikel beschriebene Umgehungslösung ist sicher anwendbar und gilt, bis Ihre Distribution den Update-Paket bereitstellt.

Was ist passiert?

Innerhalb einer Woche im Mai 2026 wurden zwei schwerwiegende Sicherheitslücken im Linux-Kernel bekannt – dem Herzstück, das praktisch jede Linux-Distribution antreibt. Beide Lücken ermöglichen einem Angreifer mit lokalem Zugang, die vollständige Kontrolle über das System zu übernehmen.

„Lokaler Zugang" bedeutet: Der Angreifer muss bereits auf dem Gerät eingeloggt sein – entweder direkt oder über ein normales Benutzerkonto. Ein Angriff aus dem Internet ohne jeden Vorzugang ist damit nicht möglich. In der Praxis ist das trotzdem gefährlich: Schadsoftware, die durch eine andere Lücke eingedrungen ist, könnte diese Schwachstelle nutzen, um sich volle Systemrechte zu verschaffen.

Die zwei Lücken im Überblick

CopyFail (CVE-2026-31431)

CopyFail steckt in einem internen Verschlüsselungs-Modul des Kernels und geht auf eine Performance-Optimierung aus dem Jahr 2017 zurück. Der Fehler ist seit Kernel 4.14 vorhanden – also auf praktisch allen Systemen der letzten Jahre. Ein normaler Nutzer ohne Administratorrechte kann damit Root-Rechte erlangen: die höchste Zugangsstufe, die volle Kontrolle über alles ermöglicht. Der Exploit-Code ist öffentlich verfügbar, der Angriff zuverlässig reproduzierbar. Für alle großen Distributionen sind Patches bereits erschienen.

Dirty Frag (CVE-2026-43284 + CVE-2026-43500)

Dirty Frag erschien eine Woche nach CopyFail und ist aus zwei Teilen zusammengesetzt: Erst wirken beide Lücken harmlos – erst kombiniert ermöglichen sie sofortigen Root-Zugriff mit einem einzigen Befehl. Besonders heikel: Der Patch war eigentlich schon in Vorbereitung, wurde aber durch eine unbekannte dritte Partei vorzeitig öffentlich gemacht – bevor die Distributionen ihre Patches fertiggestellt hatten. Für Dirty Frag gibt es bei den meisten Distributionen noch keinen vollständigen Patch.

Was ist bereits gepatcht?

Stand 9. Mai 2026:

Distribution	CopyFail	Dirty Frag
Linux Mint 22.x / LMDE 7	✅ gepatcht	⏳ ausstehend
Ubuntu 24.04 LTS	✅ gepatcht	🔄 in Arbeit
Debian 13 / 12	✅ gepatcht	⏳ ausstehend
Fedora	✅ gepatcht	🔄 in Arbeit
RHEL / AlmaLinux / Rocky	✅ gepatcht	✅ gepatcht (ab 8. Mai)
openSUSE	✅ gepatcht	🔄 in Arbeit
Arch Linux	✅ gepatcht	🔄 in Arbeit

Aktuellen Status prüfen: Ubuntu · Debian · Red Hat · NVD (allgemein)

Was jetzt zu tun ist

Schritt 1: System aktualisieren

Öffnen Sie den Update-Manager (Schild-Symbol in der Taskleiste) und installieren Sie alle verfügbaren Updates. Danach unbedingt neu starten – ein installiertes Kernel-Update läuft erst nach dem Neustart. CopyFail ist damit für die meisten Systeme bereits geschlossen.

Schritt 2: Prüfen, ob die betroffenen Module auf Ihrem System aktiv sind

Für Dirty Frag gibt es noch keinen vollständigen Patch. Die betroffenen Systemmodule heißen esp4, esp6 (zuständig für bestimmte VPN-Verbindungen) und rxrpc (ein spezielles Dateisystem-Protokoll). Auf einem normalen Desktop-Computer werden diese Module fast nie benötigt. Mit dem folgenden Befehl im Terminal prüfen Sie, ob sie bei Ihnen aktiv sind:

echo "=== Module geladen? ===" && lsmod | grep -E '^esp4|^esp6|^rxrpc' || echo "(keine)"
echo "=== IPsec-Verbindungen aktiv? ===" && ip xfrm state || echo "(keine)"
echo "=== AFS gemountet? ===" && mount | grep -i afs || echo "(nein)"

Erscheint überall (keine) oder (nein): Die Module werden nicht genutzt – Sie können sie bedenkenlos mit Schritt 3 deaktivieren.

Ausnahmen: Falls Sie ein VPN über strongSwan oder Libreswan (IPsec) nutzen oder das AFS-Dateisystem eingebunden haben, würde das Deaktivieren diese Funktionen unterbrechen. Das betrifft normale Desktop-Nutzer praktisch nie – in Firmennetzwerken mit IPsec-VPN aber möglicherweise schon.

Schritt 3: Module dauerhaft deaktivieren (Umgehungslösung)

Dieser Befehl sperrt die betroffenen Module dauerhaft – sie können dann nicht mehr geladen werden, bis Sie die Sperre wieder aufheben. Einmal ausführen reicht, auch nach Kernel-Updates:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
  > /etc/modprobe.d/dirtyfrag.conf; \
  rmmod esp4 esp6 rxrpc 2>/dev/null; \
  echo 3 > /proc/sys/vm/drop_caches"

Anschließend prüfen Sie mit diesem Befehl, ob die Sperre greift:

lsmod | grep -E '^esp4|^esp6|^rxrpc'

Keine Ausgabe bedeutet: Die Sperre ist aktiv und die Lücke geschlossen.

Sobald Ihre Distribution den Patch liefert

Ist der offizielle Patch erschienen, können Sie die Sperre wieder aufheben. Zuerst das System aktualisieren und neu starten, dann:

sudo rm /etc/modprobe.d/dirtyfrag.conf

Danach sind die Module wieder normal verfügbar, und das System ist vollständig gegen beide Lücken abgesichert.

Wie erkenne ich, ob der Patch im Update enthalten ist?

Den aktuellen Patch-Status sehen Sie in den offiziellen Sicherheits-Trackern Ihrer Distribution (Links in der Tabelle oben). Unter Debian/Ubuntu können Sie auch direkt prüfen:

apt-get changelog linux-image-$(uname -r) | grep -i "CVE-2026-4328"

Erscheint die CVE-Nummer in der Ausgabe, ist der Patch im aktuell laufenden Kernel enthalten.

Fazit

CopyFail ist für die meisten Systeme bereits gepatcht – System aktualisieren und neu starten genügt. Bei Dirty Frag braucht es noch etwas Geduld: Die Umgehungslösung (Module sperren) ist sicher und unkompliziert, funktioniert auf den meisten Desktop-Systemen ohne jede Einschränkung und bleibt automatisch aktiv, bis der offizielle Patch installiert wird.

Dieser Artikel wird aktualisiert, sobald sich am Patch-Status der wichtigsten Distributionen etwas ändert.