2026 áprilisa és májusa között a Linux kernel közössége egy szokatlan eseménysorozatot élt át. Néhány hét leforgása alatt öt súlyos kernelsérülékenység vált ismertté, amelyek mindegyike a legnépszerűbb Linux disztribúciókat érinti. A Copy Fail, a Dirty Frag, a Fragnesia, ssh-keysign-pwn és a DirtyDecrypt egymástól eltérő technikai mechanizmusokon alapulnak, de közös vonásuk, hogy helyi, alacsony jogosultságú felhasználók számára teszik lehetővé a rendszer kompromittálását.
Az öt sérülékenység közül négy (Copy Fail, a Dirty Frag, Fragnesia és a DirtyDecrypt) helyi, alacsony jogosultságú felhasználóként root joggal futtatható kód. Az ötödik, az ssh-keysign-pwn, más irányból közelít. nem root shellt ad, hanem az egyik legérzékenyebb rendszererőforráshoz, az SSH host privátkulcshoz és az /etc/shadow fájlhoz enged hozzáférést.
Copy Fail: 732 bájt a root felé
A sorozat nyitánya a Copy Fail volt, amely a CVE-2026-31431 azonosítót kapta. A sérülékenységet a Theori kutatói hozták nyilvánosságra 2026 áprilisának végén. A hiba gyökere egészen 2017-ig vezethető vissza, amikor a Linux kernel egyik kriptográfiai komponensében teljesítményoptimalizálást vezettek be. Ez az optimalizálás gyorsabb működést tett lehetővé, de mellékhatásként megnyitotta az utat egy veszélyes memóriakezelési hiba előtt. A gyakorlatban a Copy Fail azt tette lehetővé, hogy egy helyi felhasználó bizonyos rendszerhívások kombinálásával módosítsa a memóriában tárolt fájlmásolatokat. A támadók tipikusan a /usr/bin/su program gyorsítótárazott példányát célozták meg. A fontos részlet az, hogy nem magát a lemezen található fájlt írták át, hanem annak memóriában lévő másolatát, az úgynevezett page cache tartalmát. Emiatt a módosítás nehezebben észlelhető, mert a fájl integritásellenőrzése sokszor nem mutat eltérést. Amikor a rendszer később futtatta a módosított példányt, a támadó rendszergazdai jogosultsághoz jutott. A Copy Fail különösen azért váltott ki aggodalmat, mert a kihasználásához nem volt szükség speciális hardverre vagy kernelkonfigurációra.
Érintettség
Minden mainstream Linux disztribúció érintett, amely 2017 és a patch elérhetőségének ideje között épült kernelt tartalmaz. Az Ubuntu 26.04 (Resolute) és az annál újabb kernelverziók nem érintettek.
Javítás és mitigáció
Az upstream fix 2026. április 1-jén kerültek be a főágba, visszavonva a 2017-es optimalizációt. Ideiglenes megoldásként az algif_aead modul unloadolása és blacklistelése javasolt.
Dirty Frag: két hiba, egy logika
Néhány nappal később újabb problémák kerültek elő Dirty Frag néven. Ez valójában két külön sérülékenységet takart, a CVE-2026-43284 és CVE-2026-43500 azonosítójú hibákat. Bár technikailag eltértek a Copy Failtől, a végeredmény nagyon hasonló volt. Ezek is lehetővé tették azt, hogy a kernel érzékeny fájlok memóriában tárolt másolatait felülírja. A CVE-2026-43284 az IPsec ESP protokoll Linuxos megvalósításában jelent meg. Az ESP az IPsec titkosított hálózati kommunikáció egyik fontos eleme, vagyis elsősorban VPN-kapcsolatokban használják. A kernel bizonyos esetekben úgy végzett helyben történő visszafejtést, hogy nem ellenőrizte megfelelően, vajon az érintett memóriaterület meg van-e osztva a page cache-el. Emiatt a visszafejtett hálózati adat képes volt felülírni érzékeny rendszerfájlok memóriában tárolt példányait. A második Dirty Frag sérülékenység, a CVE-2026-43500, az AFS hálózati fájlrendszerhez kapcsolódó rxrpc komponensben jelent meg. A működési elv hasonló volt, a kernel bizonyos körülmények között úgy módosított memóriaterületeket, hogy közben megsérült a page cache integritása.
Érintettség
Több Linux disztribúció érintett, köztük az összes Ubuntu kiadás. A Red Hat termékeit elsősorban a CVE-2026-43284 érinti.
Javítás és mitigáció
A disztribúciók kernelfrissítéseket adtak ki. Ideiglenes megoldásként az esp4, esp6 és rxrpc modulok eltávolítása és blacklistelése alkalmazható.
Fragnesia: amikor a javítás sem elég
A történet azonban itt nem ért véget. Röviddel a Dirty Frag javítása után újabb sérülékenység jelent meg Fragnesia néven, CVE-2026-46300 azonosítóval. Ez a hiba különösen tanulságos eset lett a kernelbiztonság történetében, mert nem egy teljesen új problémát jelentett, hanem azt mutatta meg, hogy az előző javítás nem volt teljes körű. A Zellic kutatója, William Bowling részletes elemzésében rámutatott, hogy a Dirty Frag javítása során bevezetett védelmek bizonyos kódutakon egyszerűen „elvesztek”, így továbbra is maradtak olyan útvonalak, ahol a page cache korrumpálható volt. A kernel bizonyos helyzetekben titkosított adatként kezelte azokat a memóriaterületeket is, amelyek valójában fájlalapú tartalmat tartalmaztak, majd helyben visszafejtette őket. Ez ismét érzékeny rendszerfájlok memóriában lévő példányainak felülírásához vezetett.
A Fragnesia azért vált különösen veszélyessé, mert ugyan sok kernelhiba csak nagyon pontos időzítéssel használható ki, itt viszont a támadási módszer stabilan működött. A közzétett proof-of-concept exploit ismét a /usr/bin/su memóriában lévő másolatát módosította, majd a következő futtatáskor rendszergazdai hozzáférést szerzett.
Érintettség
A 2026. május 13. előtt kiadott kernelt futtató rendszerek érintettek: AlmaLinux, Amazon Linux, Debian, Red Hat, SUSE, Ubuntu.
Javítás és mitigáció
A disztribúciók elkezdték kiadni a javított kernelcsomagokat. Ideiglenes megoldásként az esp4, esp6 és rxrpc modulok eltávolítása, valamint a page-cache manuális ürítése javasolt a sérülékenység mitigálása után.
ssh-keysign-pwn: hat év, egy race condition
Miközben a közösség még a page cache problémákkal foglalkozott, újabb, teljesen más jellegű sérülékenység került elő. Az ssh-keysign-pwn, vagyis a (CVE-2026-46333), nem közvetlenül root hozzáférést adott, hanem érzékeny hitelesítő adatok megszerzését tette lehetővé. A hibát a Qualys kutatói fedezték fel. A sérülékenység egy több mint hat éve jelen lévő versenyhelyzetre épült a kernel folyamatkezelésében. Amikor egy privilegizált folyamat (például az ssh-keysign) kilépett, rövid ideig olyan állapot alakult ki, ahol bizonyos erőforrások már felszabadultak, mások viszont még elérhetők maradtak. Ebben a nagyon szűk időablakban egy támadó hozzáférhetett a folyamat nyitott fájlleíróihoz. A támadók megszerezhették az SSH host privát kulcsokat, amelyekkel később megszemélyesíthették az adott szervert. Emellett hozzáférhettek az /etc/shadow fájlhoz is, amely a Linux rendszerek jelszóhash-eit tartalmazza. Ez önmagában nem jelent azonnali hozzáférést, de lehetőséget ad offline jelszófeltörési támadásokra.
Érintettség
Minden 2026. május 14. előtti kernel érintett: Ubuntu, Debian, Arch Linux, CentOS, Raspberry Pi OS és más mainstream disztribúciók.
Javítás és mitigáció
A kernelpatch 2026. május 14-én jelent meg, amelyet maga Linus Torvalds commitált. Az AlmaLinux produkciós kernelcsomagjai 2026. május 16-án váltak elérhetővé. A patch alkalmazásán túl az érintett rendszereken az SSH host kulcsok lecserélése is erősen javasolt.
DirtyDecrypt (DirtyCBC): a sorozat ötödik tagja
A Copy Fail, Dirty Frag, Fragnesia és ssh-keysign-pwn után alig néhány nappal egy újabb sérülékenység vált ismertté. A sorozat ötödik tagja a DirtyDecrypt (más néven DirtyCBC) volt. A sérülékenység ismét ugyanabba az általános hibacsoportba tartozott; a kernel bizonyos titkosítási műveletek során helyben írta felül a page cache tartalmát. A probléma oka az, hogy a kernel megkerülte a Copy-on-Write mechanizmust, vagyis nem készített külön másolatot az érintett memóriáról módosítás előtt. Emiatt a visszafejtési művelet közvetlenül a gyorsítótárazott fájloldalakon történt. Ez ismét lehetőséget adott privilegizált fájlok memóriában történő módosítására. A sérülékenység valamivel szűkebb körben érintette a rendszereket, mert csak azok a kernelek voltak sebezhetők, amelyek a CONFIG_RXGK opcióval fordultak.
Érintett rendszerek
A sérülékenység azokat a disztribúciókat érinti, amelyek szorosan követik a legfrissebb upstream kernelkiadásokat, és a CONFIG_RXGK opció engedélyezésével fordítják a kernelt. Igazoltan érintett: Fedora, Arch Linux és openSUSE Tumbleweed. Az Ubuntu, a Debian és a Red Hat alapú disztribúciók alapértelmezett konfigurációban jellemzően nem fordítják be a CONFIG_RXGK modult, ezért ezek közvetlenül nem érintettek. Ugyanakkor egyedi, forrásból fordított kernelek esetén az érintettség ellenőrzése javasolt.
Javítás és mitigáció
A kerneljavítás a mainline upstream főágban már rendelkezésre áll. Azok számára, akik nem tudnak azonnal frissíteni, a Dirty Fragnél alkalmazott mitigáció célzott változata is elegendő védelmet nyújt, az rxrpc és rxgk modulok blacklistelésével és eltávolításával a támadási felület megszüntethető. A Dirty Frag teljes mitigációs parancsa (amely az esp4, esp6 és rxrpc modulokat is letiltja) szintén alkalmazható, azonban érdemes figyelembe venni, hogy ez IPsec VPN kapcsolatokat és AFS alapú hálózati fájlrendszereket is érinteni fog.
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"Ami a sorozat mögött rejlik
Az egész eseménysorozat egyik legfontosabb tanulsága az volt, hogy a Linux kernel különböző alrendszereiben ugyanaz a hibaminta többször is megjelent. A page cache teljesítményoptimalizálásai és a titkosítási műveletek közötti kölcsönhatás sokkal veszélyesebbnek bizonyult, mint korábban gondolták. A kutatók szerint ezek nem elszigetelt programozási hibák, hanem részben tervezési problémák is. A 2026-os Linux sérülékenységhullám jól megmutatta, hogy még a világ egyik legfontosabb és legjobban auditált nyílt forráskódú projektjében is hosszú évekig rejtve maradhatnak súlyos hibák. A történet arra is emlékeztetett, hogy a modern operációs rendszerek összetettsége miatt egyetlen optimalizáció vagy részleges javítás is váratlan következményekkel járhat.
Azonnali teendők rendszergazdák számára:
- Alkalmazzák az érintett disztribúciók legfrissebb kernelfrissítéseit.
- Azon rendszereken, ahol a kernelfrissítés még nem elérhető, blacklisteljék az algif_aead, esp4, esp6, rxrpc modulokat.
- ssh-keysign-pwn esetén cseréljék le az SSH host kulcsokat, és ellenőrizzék az /etc/shadow integritását.
- A page-cache-t üritsék ki (drop_caches) a Fragnesia mitigálása után, hogy a már korrupt cache-oldalak törlődjenek.