Laatst bijgewerkt: 8 mei 2026
Status: mitigatie nu beschikbaar — gepatchte kernels worden per stream uitgerold; KernelCare-livepatches zijn in build/test.
Disclaimer: Deze pagina is uitsluitend bedoeld als informatie. We geven geen garanties over de juistheid, volledigheid of toepasbaarheid van de informatie op jouw specifieke omgeving, en de situatie zoals hier beschreven kan elk moment veranderen. Verifieer altijd via de officiële kanalen van je distributie voordat je wijzigingen doorvoert op productieomgevingen. Je past de commando's en instructies op deze pagina toe op eigen risico; Yourwebhoster.eu aanvaardt geen aansprakelijkheid voor schade, downtime of dataverlies die het gevolg is van het opvolgen ervan, in het bijzonder op systemen die wij niet beheren.
Maak altijd een back-up of snapshot zodat je bij eventuele problemen éénvoudig kan terugrollen.
KRITIEK: Pas de mitigatie hieronder NIET toe op hosts die IPsec / strongSwan / Libreswan tunnels termineren of doorvoeren. De mitigatie schakelt de kernel-side ESP transforms uit en breekt deze tunnels. Gebruik op die hosts in plaats daarvan een gepatchte kernel of KernelCare-livepatch.
Wijzigingen aan deze pagina
8 mei 2026 — Pagina gepubliceerd. Eerste publicatie met overzicht van getroffen systemen, mitigatie en beschikbare patches.
Wat is Dirty Frag?
Dirty Frag is een kritieke local privilege escalation in de Linux-kernel die op 7 mei 2026 publiek werd gemaakt door onderzoeker Hyunwoo Kim — één week na Copy Fail (CVE-2026-31431) door dezelfde onderzoeker. De kwetsbaarheid zit in het in-place decryption pad van de kernel-modules esp4, esp6 en rxrpc. Een lokale gebruiker zonder rechten kan met de publiek beschikbare exploit in één commando root-rechten verkrijgen.
De kwetsbaarheid is opgesplitst over twee CVE's: CVE-2026-43284 dekt het IPsec ESP-pad (esp4 / esp6) en is de relevante voor typische hosting-servers. CVE-2026-43500 dekt het rxrpc-deel, dat alleen geladen wordt op AFS-clients en helemaal niet wordt meegeleverd op AlmaLinux 8 of CloudLinux 8 — voor de gemiddelde web-hosting box kun je dit effectief als één kwetsbaarheid behandelen.
Een vroege proof-of-concept repository genaamd “Copy Fail 2: Electric Boogaloo” die op GitHub circuleert verwijst naar dezelfde kwetsbaarheid onder die alias. Er is geen aparte “Copy Fail 2” CVE.
Voor shared hosting met meerdere tenants is dit een serieus risico: een gebruiker met shell-toegang kan in één commando root op de hostnode worden. De exploit modificeert binaries in de page cache als onderdeel van het verkrijgen van root, dus zelfs na het toepassen van de mitigatie moet de page cache worden geleegd (zie hieronder). Voor KVM-VM's is het géén VM-escape — elke guest is wel onafhankelijk kwetsbaar binnen zijn eigen kernel.
De responsible-disclosure embargo werd doorbroken voordat distributies konden coördineren, dus een werkende publieke exploit was vanaf dag één beschikbaar. Behandel dit als urgent.
Status van onze infrastructuur
We hebben de tijdelijke mitigatie toegepast op onze getroffen infrastructuur en valideren de impact op hosts die IPsec gebruiken voor site-to-site connectiviteit. Zodra gepatchte kernels in de stable channels van elke distributie landen — of zodra KernelCare-livepatches beschikbaar komen — rollen we de definitieve fix uit.
Beschikbare patches per distributie
De situatie verschilt per distributie. Controleer altijd de officiële kanalen voor de laatste status — onderstaande tabel is een momentopname van 8 mei 2026.
| Distributie | Kwetsbaar | Gepatchte kernel | Waar te verkrijgen | Bron |
|---|---|---|---|---|
| CentOS 7, CloudLinux 7 | Nee | — | Geen actie nodig | CloudLinux Blog |
| CloudLinux 7h, CloudLinux 8 | Ja | In build | CloudLinux-rebuild op basis van AlmaLinux 8 fix kernel-4.18.0-553.123.2.el8_10 — release naar beta channel cloudlinux-updates-testing volgt | CloudLinux Blog |
| CloudLinux 9 / AlmaLinux 9 | Ja | Beschikbaar (testing) | AlmaLinux testing repository — doel kernel-5.14.0-611.54.3.el9_7 of nieuwer | AlmaLinux advisory |
| CloudLinux 10 / AlmaLinux 10 | Ja | Beschikbaar (testing) | AlmaLinux testing repository — doel kernel-6.12.0-124.55.3.el10_1 of nieuwer (gecombineerde fix CVE-2026-43284 + CVE-2026-43500) | AlmaLinux advisory |
| AlmaLinux 8 | Ja | Beschikbaar (testing) | AlmaLinux testing repository — kernel-4.18.0-553.123.2.el8_10 of nieuwer (alleen geraakt door CVE-2026-43284; rxrpc niet meegeleverd) | AlmaLinux advisory |
| Rocky Linux 8 / 9 / 10 | Ja | Check leverancier | Rocky errata-kanalen | Rocky Errata |
| RHEL 8 / 9 / 10 | Ja | Check leverancier | Red Hat errata-kanalen | Red Hat Security |
| Debian 12 / 13 | Ja | Check tracker | Pas tijdelijke mitigatie toe; check Debian Security Tracker | Debian Tracker |
| Ubuntu 22.04 / 24.04 | Ja | Check USN | Pas tijdelijke mitigatie toe als er nog geen USN is uitgebracht | Ubuntu Security |
Mitigatie als de gepatchte kernel nog niet beschikbaar is
Anders dan bij Copy Fail zijn de getroffen modules (esp4, esp6, rxrpc) laadbare kernel-modules op alle grote distributies — inclusief de RHEL-familie. Dezelfde modprobe-blacklist mitigatie werkt overal; geen boot-parameter aanpak of reboot nodig.
VOER DIT NIET UIT op hosts die IPsec / strongSwan / Libreswan tunnels termineren of doorvoeren. esp4 en esp6 zijn de kernel-side ESP transforms die door IPsec worden gebruikt — ze uitschakelen breekt deze tunnels. Wacht op IPsec-hosts op de gepatchte kernel of gebruik een KernelCare-livepatch. rxrpc is de AF_RXRPC transport die vrijwel uitsluitend door AFS-clients wordt gebruikt en is niet aanwezig op typische web-hosting servers — in vrijwel alle gevallen is het veilig om die uit te schakelen.
Pas de mitigatie toe:
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Verifieer dat de modules weg zijn:
lsmod | grep -E '^(esp4|esp6|rxrpc)\s'
Als de output leeg is, is de mitigatie actief.
Vervolgactie verplicht: leeg de page cache
De exploit kan legitieme systeembinaries in de page cache modificeren als onderdeel van het verkrijgen van root. Alleen de mitigatie toepassen is daarom niet voldoende op systemen die mogelijk al doelwit waren vóórdat de mitigatie actief was. Leeg de page cache na mitigatie zodat eventueel gemodificeerde binaries bij de volgende toegang opnieuw vanaf disk worden ingelezen:
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'
Let op: sudo echo 3 > /proc/sys/vm/drop_caches werkt niet, omdat de shell-redirect plaatsvindt in de gebruiker's shell en niet onder sudo. Gebruik de sh -c vorm hierboven.
Reverten zodra de gepatchte kernel is geïnstalleerd:
sudo rm /etc/modprobe.d/dirtyfrag.conf
Compatibiliteit: SSH, dm-crypt / LUKS, kTLS en standaard OpenSSL / GnuTLS-builds zijn niet afhankelijk van deze modules en blijven werken na toepassen van de mitigatie. IPsec / strongSwan / Libreswan tunnels stoppen met werken zolang esp4 / esp6 geblokkeerd zijn — zie de waarschuwing hierboven. AFS-clients die afhankelijk zijn van rxrpc verliezen connectiviteit (zeer zeldzaam op hosting-servers).
Advies
1. Pas de tijdelijke mitigatie nu toe. De publieke exploit is beschikbaar en triviaal te gebruiken; elk uur zonder mitigatie is exposure. Gebruik het modprobe-blacklist commando hierboven en leeg vervolgens de page cache. Sla deze stap alleen over op hosts die actief IPsec gebruiken.
2. Werk de kernel zo snel mogelijk bij. Voor CloudLinux 9 / 10 en AlmaLinux 8 / 9 / 10 is een gepatchte kernel al beschikbaar in de testing repository. CloudLinux 7h en 8 rebuilds volgen nog. Plan een reboot in en installeer de update zodra de kernel de stable channel van je distributie bereikt.
3. Overweeg KernelCare voor toekomstige kernel-CVE's. KernelCare past kernel-patches toe zonder reboot. KernelCare-livepatches voor Dirty Frag zijn in build/test en worden binnenkort verwacht in de main feed. Voor deze CVE bieden we één maand KernelCare gratis aan voor al je servers bij ons — shared hosting, VPS, dedicated, managed of unmanaged, ongeacht het producttype. Stuur een e-mail naar support@yourwebhoster.eu met daarbij de server(s) waar je het voor wilt activeren. Om te bevestigen dat jouw specifieke kernel gedekt is, zie de KernelCare patch tracker voor CVE-2026-43284.
4. Controleer altijd de officiële statuspagina van je distributie voor de laatste updates, omdat de situatie per uur kan veranderen.
Externe statuspagina's
CloudLinux Status Page — Dirty Frag incident
status.cloudlinux.com
KernelCare patch tracker — CVE-2026-43284
AlmaLinux — Dirty Frag advisory
Debian Security Tracker — CVE-2026-43284
Ubuntu Security — CVE-2026-43284
Red Hat Security — CVE-2026-43284
Bronnen & verdere lezing
dirtyfrag.io — write-up van de onderzoeker
GitHub — canonical PoC (V4bel)
CloudLinux Blog — Dirty Frag advisory
oss-security — originele disclosure (Hyunwoo Kim, 7 mei 2026)
NVD — CVE-2026-43284
CloudLinux KB — Dirty Frag
Upstream kernel-fix (commit f4c50a4034e6)
lore.kernel.org — netdev thread
Gerelateerd
Copy Fail (CVE-2026-31431) — status & updates — de eerdere gerelateerde CVE van één week eerder.
Vragen? Stuur een e-mail naar support@yourwebhoster.eu of open een ticket. Deze pagina wordt bijgewerkt zodra er nieuwe informatie of voortgang is.