Copy Fail & Dirty Frag: Statusbericht zu den aktuellen Kernel-Sicherheitslücken
In den vergangenen zwei Wochen haben zwei schwerwiegende Sicherheitslücken im Linux-Kernel die IT-Welt beschäftigt: Copy Fail und Dirty Frag. Da uns die Sicherheit Ihrer Systeme am Herzen liegt, möchten wir Sie heute über den aktuellen Stand und unsere getroffenen Schutzmaßnahmen informieren.
STATUS: GESICHERT
Das Wichtigste vorab: Unsere Systeme sind aktuell gegen beide Sicherheitslücken geschützt. Wir haben proaktive Maßnahmen ergriffen, welche die Ausnutzung der Schwachstellen verhindern.
Was ist passiert?
Zunächst wurde Ende April die Lücke „Copy Fail“ bekannt. Mit nur wenigen Zeilen Python-Code war es Angreifern theoretisch möglich, auf fast allen großen Linux-Distributionen Root-Rechte zu erlangen. Kurz darauf folgte mit „Dirty Frag“ eine weitere Schwachstelle, die ähnlich kritisch eingestuft wurde. Beide Lücken betreffen tiefgreifende Mechanismen des Kernels (Speicherverwaltung und Paket-Fragmentierung). Da diese Schwachstellen lokale Rechteausweitungen ermöglichen, haben wir unmittelbar nach Bekanntwerden reagiert.
Warum haben wir noch keine neuen Kernel installiert?
In unserer Rundmail vom 30.04.2026 hatten wir angekündigt, zeitnah neue Kernel zu installieren. Im Gegensatz zu dieser ursprünglichen Planung haben wir bisher auf den Austausch des Kernels verzichtet. Der Grund dafür ist technischer Natur:
• Fehlende Backports: Für die von uns primär eingesetzte Distribution Ubuntu existiert aktuell noch kein stabiler Backport für einen neuen Kernel, der das Problem dauerhaft im Code löst.
• Sperrung des Moduls: Ubuntu hat zwischenzeitlich zwar einen offiziellen Patch veröffentlicht, dieser bewirkt jedoch ebenfalls nur das Sperren des betroffenen Kernel-Moduls.
• Gleicher Schutz ohne Reboot: Der aktuelle Ubuntu Patch sperrt als Sofortmaßnahme (Hotfix) das problematische Kernel-Modul. Diese Maßnahme haben wir bereits am 30.04.2026 vorgenommen.
Um auch die zweite Lücke („Dirty Frag“) abzusichern, haben wir analog dazu bereits am 08.05.2026 weitere Kernel-Module deaktiviert. Damit sind die Angriffswege für beide Lücken effektiv geschlossen.
Wie geht es weiter?
Auch wenn die Systeme durch die Modulsperrung aktuell sicher sind, beobachten wir die Situation weiterhin genau. Sobald ein vollwertiger Kernel-Patch verfügbar ist, der es erlaubt, die betroffenen Module wieder ohne Sicherheitslücke zu nutzen, werden wir diesen wie gewohnt testen und den Rollout planen.
Wir werden Sie über anstehende Wartungsfenster für die dann notwendigen Neustarts rechtzeitig informieren. Falls Sie Fragen zu Ihren Systemen haben, steht Ihnen unser Support-Team gerne zur Verfügung.