Six Eight Consulting
Navigation öffnen
Kontakt
Linux Kernel Sicherheitslücke Fragnesia CVE-2026-46300: Betroffenheit prüfen, Kernel patchen und ESP/RxRPC-Module mitigieren
News

Fragnesia (CVE-2026-46300): Linux-Root-Lücke erkennen und absichern

Fragnesia CVE-2026-46300 erlaubt lokale Privilegieneskalation im Linux-Kernel. Wer betroffen ist, wie Sie Systeme prüfen und welche Fixes jetzt helfen.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 8 Min. Lesezeit

Fragnesia (CVE-2026-46300) ist eine lokale Privilegieneskalation im Linux-Kernel. Ein Angreifer braucht zunächst lokalen Code-Ausführungskontext, kann auf verwundbaren Systemen danach aber Root-Rechte erreichen. Genau deshalb ist die Lücke für Cloud-, Container-, CI/CD- und Multi-User-Umgebungen relevanter, als das Wort “lokal” auf den ersten Blick vermuten lässt.

Die operative Priorität liegt bei Systemen, auf denen untrusted Code läuft: CI/CD-Runner, Kubernetes-Nodes, Container-Hosts, Shared-Hosting-Server, Jump-Hosts und Entwickler-Workstations. Für solche Systeme sollte CVE-2026-46300 nicht in der normalen Monatswartung landen, sondern kurzfristig in Patch- und Reboot-Planung.

Was ist Fragnesia?

Fragnesia betrifft Kernel-Pfade rund um XFRM/IPsec ESP-in-TCP, esp4, esp6 und rxrpc. Die veröffentlichte technische Analyse beschreibt ein Problem im Umgang mit Socket Buffern und page-cache-backed Fragments: Der Kernel behandelt bestimmte geteilte beziehungsweise extern hinterlegte Fragmente nicht durchgehend robust. Der netdev-Patch adressiert diese Klasse, indem der Marker für geteilte Fragmente beim Coalescing erhalten bleiben soll.

Für die Praxis reicht eine klare Einordnung: Fragnesia ist kein klassischer “Port offen, Server übernommen”-Fall. Kritisch wird die Lücke, wenn Angreifer bereits Code auf dem System ausführen können. Das ist in heutigen Umgebungen kein Randfall. Ein kompromittierter Webservice, ein Pull-Request-Build, ein Container-Foothold oder ein niedrig privilegierter Benutzer reicht als Ausgangspunkt.

Diagramm der Fragnesia-Angriffskette von lokalem Code über ESP-in-TCP und RxRPC bis zur Root-Eskalation
Vereinfachte Angriffskette: Erst lokaler Code-Kontext, dann Kernel-Pfade rund um ESP-in-TCP, RxRPC und Page-Cache-Fragmente, schließlich Root-Eskalation.

Warum ist das für Unternehmen kritisch?

Lokale Kernel-LPEs werden häufig unterschätzt, weil sie keinen direkten Internet-Exploit darstellen. In modernen Infrastrukturen ist lokaler Code-Ausführungskontext aber oft Teil des Betriebsmodells. CI/CD-Runner führen fremden oder nur begrenzt geprüften Code aus. Container teilen den Host-Kernel. Webserver und Worker laufen bewusst mit niedrigen Rechten, damit ein einzelner Prozess nicht direkt das System übernimmt.

Eine Kernel-LPE dreht genau diese Schutzannahme um. Aus einem eingeschränkten Prozess wird ein Pfad zum Host. Das Risiko ähnelt operativ Fällen wie Copy Fail und Dirty Frag: Nicht der erste Zugriff ist das Hauptproblem, sondern die schnelle Eskalation danach.

Bin ich betroffen?

Die belastbarste Antwort kommt vom jeweiligen Distributor oder Cloud-Anbieter. Ubuntu, Debian, AlmaLinux, Rocky, CloudLinux, Red Hat, SUSE, Fedora und andere pflegen eigene Kernel-Pakete, Backports und Security-Tracker. Verlassen Sie sich deshalb nicht allein auf die Upstream-Kernelnummer. Ein älterer Vendor-Kernel kann bereits gefixt sein, während ein neuerer Kernel in einem anderen Stream noch bewertet wird.

Prüfen Sie aktiv, wenn einer dieser Punkte zutrifft:

  • Untrusted lokale Nutzer können sich anmelden oder Jobs ausführen.
  • CI/CD-Runner, Build-Server oder Testsysteme führen Fremdcode aus.
  • Container- oder Kubernetes-Workloads laufen auf gemeinsam genutzten Hosts.
  • User Namespaces sind für unprivilegierte Nutzer erlaubt.
  • esp4, esp6 oder rxrpc sind geladen oder können geladen werden.
  • Der Distributor markiert die Kernel-Reihe als verwundbar, noch zu bewerten oder noch nicht gefixt.

Schnellcheck: Kernel, Module, Namespaces

Der folgende Check führt keinen Exploit aus. Er sammelt die Informationen, die Sie für Priorisierung und Vendor-Abgleich brauchen: Kernel, Distribution, geladene Module und Namespace-Konfiguration.

Wie kann ich CVE-2026-46300 fixen?

Der eigentliche Fix ist ein gepatchter Kernel Ihres Distributors plus Neustart in genau diesen Kernel. Bei Kernel-Schwachstellen reicht es nicht, Pakete nur zu installieren. Der alte Kernel bleibt aktiv, bis das System neu gestartet wurde oder ein sauber unterstütztes Live-Patching greift.

Patchen Sie zuerst Systeme mit untrusted Code-Ausführung. Ein interner Datenbankserver ohne lokale Benutzer bleibt wichtig, aber ein internetnaher Container-Host oder CI-Runner ist in der Regel dringender.

Mitigation, bis der Kernel-Fix aktiv ist

Wenn ein Vendor-Kernel noch nicht verfügbar ist oder der Reboot nicht sofort möglich ist, empfiehlt Ubuntu für CVE-2026-46300 dieselbe Mitigation wie bei Dirty Frag: esp4, esp6 und rxrpc blockieren und bereits geladene Module entladen. Das ist nur sinnvoll, wenn diese Module im Betrieb nicht benötigt werden.

Die Mitigation ist nicht für jede Umgebung kostenlos. Wer IPsec ESP, bestimmte VPN-Szenarien oder RxRPC/AFS produktiv nutzt, kann damit Funktionalität brechen. In solchen Fällen sollten Sie Hosts isolieren, den Patch beschleunigen und die Entscheidung dokumentieren, statt blind Module zu deaktivieren.

Priorisierung: Was jetzt passieren sollte

Beginnen Sie mit einer Asset-Liste: Linux-Hosts, Kernel, Rolle, Owner, Exponierung und lokale Ausführungsmöglichkeiten. Danach folgen Patch-Fenster, temporäre Mitigation und Reboot-Verifikation. Wenn es Hinweise auf Missbrauch gibt, behandeln Sie den Host nicht nur als patchbedürftig, sondern als potenziell kompromittiert: isolieren, volatile Artefakte sichern, Root-Aktivitäten prüfen, Secrets rotieren und den Host aus sauberer Quelle neu aufbauen, wenn die Integrität nicht belastbar nachweisbar ist.

Copy Fail, Dirty Frag und Fragnesia

Fragnesia ist nicht einfach “noch eine CVE”. Die Schwachstelle steht in einer auffälligen Serie von Linux-Kernel-LPEs rund um Page Cache, Kryptografie-/Netzwerkpfade und Kernel-Subsysteme, die in Cloud- und Container-Umgebungen besonders relevant sind. Die Lehre für Unternehmen ist nüchtern: Kernel-Patching gehört in dieselbe Prioritätsklasse wie Exposure-Management und CI/CD-Hardening.

Wer untrusted Code ausführt, braucht schnelle Kernel-Rollouts, kurzlebige Runner, harte Mandantentrennung und klare Entscheidungswege für außerplanmäßige Reboots.

Priorisierung nach Umgebung

UmgebungWarum relevant?Priorität
CI/CD-RunnerBuild-Jobs und Pull-Request-Code können aus niedrigen Rechten in den Host-Kontext eskalieren.Sehr hoch
Container- und Kubernetes-HostsContainer teilen den Host-Kernel; ein Foothold im Workload kann Host-Risiko werden.Sehr hoch
Shared Hosting und Multi-User-SystemeNormale lokale Accounts oder Kundenprozesse sind ein realistischer Ausgangspunkt.Sehr hoch
Jump-Hosts und Admin-WorkstationsLokale Eskalation kann privilegierte Zugänge, SSH-Keys und Admin-Tools berühren.Hoch
Einzelne interne ServerRelevant bei App-Foothold, Service-Account, SSH-Zugang oder breiter interner Erreichbarkeit.Mittel bis hoch

Vendor-Status einordnen

QuelleEinordnungWas daraus folgt
UbuntuCVE-Tracker und Dirty-Frag-Mitigation nennen die relevanten Module und priorisieren Vendor-Fixes.Security-Tracker prüfen, Kernel aktualisieren, Module bis zum Reboot blockieren, wenn möglich.
DebianDer Security Tracker ist maßgeblich für Paket- und Release-Status.Nicht nur Kernelnummer vergleichen, sondern den konkreten Debian-Paketstatus prüfen.
AlmaLinux, Rocky Linux, CloudLinuxVendor-Hinweise beschreiben betroffene Enterprise-Kernel-Reihen und Mitigationen.Update-Stream, KernelCare oder getestete Kernel-Freigabe je Umgebung prüfen.
AWSAWS veröffentlicht eine eigene Einordnung für betroffene und nicht betroffene Dienste oder Images.Cloud-Hosts nicht pauschal bewerten, sondern Provider-Bulletins mit Image- und Kernelstand abgleichen.

Sofortmaßnahmen

  1. 1

    Linux-Assets priorisieren

    Kernel, Distribution, Rolle, Exponierung, Owner und lokale Ausführungsmöglichkeiten erfassen. CI/CD, Container-Hosts und Multi-User-Systeme zuerst behandeln.

  2. 2

    Vendor-Status prüfen

    Security-Tracker des Distributors oder Cloud-Anbieters nutzen. Backports und Vendor-Kernel sind wichtiger als ein reiner Upstream-Versionsvergleich.

  3. 3

    Kernel patchen und Reboot verifizieren

    Gepatchten Kernel installieren, Neustart planen und danach mit uname -r sowie Paketstand prüfen, dass wirklich der neue Kernel läuft.

  4. 4

    Module temporär blockieren

    esp4, esp6 und rxrpc blockieren und entladen, sofern IPsec ESP, VPN-Szenarien, RxRPC oder AFS dadurch nicht produktiv gestört werden.

  5. 5

    Bei Verdacht Incident-Modus wählen

    Host isolieren, volatile Artefakte sichern, lokale Root-Aktivitäten prüfen, Secrets rotieren und Integrität belastbar nachweisen.

bash fragnesia-linux-check.sh 
# Basisdaten für Fragnesia / CVE-2026-46300 sammeln
uname -a
cat /etc/os-release 2>/dev/null

# Sind die relevanten Module aktuell geladen?
lsmod | grep -E '^(esp4|esp6|rxrpc)\\b' || echo "esp4/esp6/rxrpc aktuell nicht geladen"

# Dürfen unprivilegierte Nutzer User Namespaces erstellen?
sysctl kernel.unprivileged_userns_clone 2>/dev/null || true

# Distributor-Fixstatus prüfen:
# Debian/Ubuntu: apt list --upgradable | grep -E 'linux-image|linux-generic|linux-headers'
# RHEL/Alma/Rocky/Fedora: dnf updateinfo list cves | grep CVE-2026-46300
# SUSE: zypper list-patches --cve=CVE-2026-46300
Schnellcheck für Kernel, Distribution, Module und Namespace-Konfiguration.
bash fragnesia-patch-examples.sh 
# Debian / Ubuntu
sudo apt update
sudo apt full-upgrade
sudo reboot

# RHEL / AlmaLinux / Rocky Linux / Fedora
sudo dnf update 'kernel*'
sudo reboot

# SUSE / openSUSE
sudo zypper patch --category security
sudo reboot

# Nach dem Neustart:
uname -r
Beispiele für Kernel-Updates. Produktionssysteme sollten über das zentrale Patch-Management gesteuert werden.
bash fragnesia-module-mitigation.sh 
# Mitigation: Module blockieren
printf 'install esp4 /bin/false\\ninstall esp6 /bin/false\\ninstall rxrpc /bin/false\\n' | sudo tee /etc/modprobe.d/fragnesia.conf

# Debian/Ubuntu: initramfs aktualisieren
sudo update-initramfs -u -k all

# RHEL/Alma/Rocky/Fedora/SUSE: falls genutzt, initramfs neu generieren
sudo dracut -f --regenerate-all 2>/dev/null || true

# Bereits geladene Module entladen, sofern nicht in Benutzung
sudo rmmod esp4 esp6 rxrpc 2>/dev/null || true

# Page Cache leeren; kann kurzzeitig Performance beeinflussen
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

# Kontrolle
grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Module sind noch geladen" || echo "Module sind nicht geladen"
Temporäre Mitigation: nur einsetzen, wenn esp4, esp6 und rxrpc im Betrieb nicht benötigt werden.

FAQ zu Fragnesia (CVE-2026-46300)

Was ist Fragnesia?
Fragnesia (CVE-2026-46300) ist eine lokale Privilegieneskalation im Linux-Kernel. Die Schwachstelle betrifft Kernel-Pfade rund um XFRM/IPsec ESP-in-TCP, esp4, esp6 und rxrpc. Ein lokaler, unprivilegierter Prozess kann auf verwundbaren Systemen Root-Rechte erreichen.
Ist CVE-2026-46300 aus dem Internet remote ausnutzbar?
Nach aktueller öffentlicher Einordnung ist Fragnesia keine alleinstehende Remote-Code-Execution. Der Angreifer braucht zunächst lokalen Code-Ausführungskontext, etwa über einen kompromittierten Dienst, einen CI-Job, einen Container-Foothold oder einen niedrig privilegierten SSH-Zugang.
Welche Systeme sind besonders relevant?
Besonders relevant sind Container-Hosts, Kubernetes-Nodes, CI/CD-Runner, Build-Server, Shared-Hosting-Systeme, Jump-Hosts, Entwickler-Workstations und alle Linux-Systeme, auf denen untrusted User oder untrusted Workloads Code ausführen können.
Wie prüfe ich, ob ein System betroffen ist?
Prüfen Sie Kernel-Version, Distribution, Vendor-Security-Tracker, geladene oder ladbare Module esp4, esp6 und rxrpc sowie die Namespace-Konfiguration. Entscheidend ist der Distributor-Status, weil Backports die reine Upstream-Kernelnummer relativieren können.
Wie behebe ich Fragnesia?
Der eigentliche Fix ist ein gepatchter Vendor-Kernel plus Reboot in diesen Kernel. Bis dahin können esp4, esp6 und rxrpc per modprobe-Konfiguration blockiert und geladene Module entladen werden, sofern diese Funktionen nicht produktiv benötigt werden.
Reicht Container-Isolation als Schutz?
Nein. Container teilen den Host-Kernel. Eine lokale Kernel-LPE ist auf Container-Hosts deshalb besonders kritisch, weil ein vermeintlich isolierter Workload den Host-Kontext erreichen kann.

Themen

CVE-2026-46300FragnesiaLinux KernelLocal Privilege EscalationPatch ManagementDirty FragCopy FailLinux Security

Quellen

  1. Ubuntu Security: CVE-2026-46300Ubuntu CVE-Tracker
  2. Ubuntu Blog: Dirty Frag Linux vulnerability fixes availableMitigation für esp4, esp6 und rxrpc
  3. oss-security: Fragnesia disclosureDisclosure und technische Einordnung
  4. oss-security: CVE confirmationCVE-Bestätigung
  5. oss-security: Fragnesia analysisAnalyse der Ausnutzungsbedingungen
  6. AlmaLinux: Fragnesia CVE-2026-46300Vendor-Hinweise für AlmaLinux
  7. AWS Security Bulletin: CVE-2026-46300AWS-Einordnung
  8. CloudLinux: Fragnesia mitigation and kernel updateCloudLinux-Status und KernelCare-Hinweise
  9. CIQ: Rocky Linux Fragnesia mitigationRocky-Linux-Mitigation
  10. Debian Security Tracker: CVE-2026-46300Debian-Paketstatus
  11. netdev: skb fragment fixKernel-Patch-Kontext
  12. V12 Security: Fragnesia proof of conceptÖffentlicher PoC
  13. Microsoft Security Blog: Copy Fail backgroundHintergrund zu ähnlichen Linux-Kernel-LPEs