Dirty Frag: CachyOS schließt Sicherheitslücken im Linux-Kernel
Das auf Gaming-Performance getrimmte Arch-basierte Betriebssystem CachyOS hat alle seine angebotenen Kernel-Varianten gegen die schwerwiegenden Sicherheitslücken Dirty Frag und Copy Fail abgesichert - und das bemerkenswert schnell.
Innerhalb einer einzigen Woche wurden zwei schwerwiegende Schwachstellen im Linux-Kernel öffentlich bekannt: Copy Fail (CVE-2026-31431) am 29. April 2026 und Dirty Frag (CVE-2026-43284 sowie CVE-2026-43500) am 7. Mai 2026. Beide erlauben es einem unprivilegierten lokalen Nutzer, auf betroffenen Distributionen durch eine Rechteausweitung entsprechende Root-Rechte zu erlangen.
Dirty Frag: Ein Embargo-Bruch mit Folgen
Besonders brisant war die Situation bei Dirty Frag: Zum Zeitpunkt der Veröffentlichung lagen weder Patches noch die CVE-Bezeichnungen vor, weil das Embargo durch einen Dritten gebrochen wurde und der Sicherheitsforscher daraufhin früher als geplant an die Öffentlichkeit ging. Da Dirty Frag ein deterministischer Logikfehler ist und nicht von einem Race-Condition-Fenster abhängt, ist kein "Timing-Glück" nötig, wie die Website Phoronix berichtet. Dank einer ausbleibenden Kernel-Panik ist die Erfolgsrate sehr hoch. Ein schnelles Handeln war hier also essenziell.
CachyOS reagiert schnell: Community lobt Tempo
CachyOS war zum Zeitpunkt der ersten Dirty-Frag-Meldung ebenfalls betroffen. Aus dem CachyOS-Community-Forum geht hervor, dass der Exploit erfolgreich auf einer CachyOS-Maschine mit Kernel 7.0.3-1-cachyos ausgelöst werden konnte.
Die Entwickler der Gaming-Distribution reagierten jedoch zügig. Mitglieder der CachyOS-Community lobten die extrem schnelle Reaktion der Upstream-Entwickler und des CachyOS-Teams ausdrücklich. Sämtliche von CachyOS angebotenen Kernel, darunter der Standard-CachyOS-Kernel, der linux-cachyos-bore sowie alle weiteren Varianten, wurden mit den Upstream-Patches gegen beide CVEs versorgt.
Die Schwachstelle wurde im Mainline-Kernel mit den Releases Linux 7.0.5, Linux 6.18.28, Linux 6.12.87, Linux 6.6.138, Linux 6.1.171, Linux 5.15.205 und Linux 5.10.255 behoben.
Andere Distributionen wie Fedora wählten dabei bewusst einen anderen Weg: Sie backporteten alle Fixes auf Kernel 7.0.4, um Verwirrung zu vermeiden - denn 7.0.5 war zunächst nur ein Teilfix, bei dem der rxrpc-Pfad noch angreifbar blieb.
Copy Fail ebenfalls geschlossen
Auch die bereits zuvor bekannte Copy-Fail-Lücke (CVE-2026-31431) ist in sämtlichen Kerneln von CachyOS bereits geschlossen. Copy Fail ist ein Logikfehler in einem Kernelmodul, der durch eine In-Place-Optimierung eingeführt wurde.
Ein unprivilegierter Prozess kann Daten in einen AF_ALG-Socket "spleißen" und einen kleinen Schreibvorgang in den Page Cache einer Datei ausführen, die er nicht besitzt. CISA hatte Copy Fail bereits in seinen Katalog aktiv ausgenutzter Schwachstellen aufgenommen.
Kernel-Updates unbedingt installieren
CachyOS-Nutzern wird dringend empfohlen, ihr System umgehend zu aktualisieren. Ein einfaches sudo pacman -Syu gefolgt von einem Neustart genügt, um den gepatchten Kernel einzuspielen und das System abzusichern.
Ihre Meinung ist gefragt!
Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich über Ihre fundierte Meinung in den Kommentaren zu dieser Meldung. Um zu kommentieren, müssen Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie bisher noch keinen Account haben, könnten Sie sich hier unverbindlich registrieren. Beachten Sie beim Kommentieren aber bitte die geltenden Forenregeln.
Quelle: CachyOS, Phoronix
Denn je weniger Dienste am laufen sind, desto besser.
Potenzielle Schwachstellen als solches, entweder fix einen Workaround, oder auf Hotfixes logischerweise warten.
Also müsste jemand direkten Zugang zu meinem Rechner haben, oder ?
Schlimmer finde ich Schwachstellen, die einen Zugang von außen ermöglichen.
Von Programmierung habe ich absolut null Ahnung, deshalb die Frage. Mir scheint, als hätte man dieses Verhalten erahnen können, weswegen ich gefragt habe, ob dem tatsächlich so ist. Diese meine Verwunderung beruht darauf, dass man ja so oft liest, dass es nichts in den Kernel schafft, dass nicht unabhängig und mehrfach überprüft wurde. Wie du selbst sagst, beruht dieser Effekt auf einer Routine und wie die sich auswirken könnte! so hätte ich angenommen, würde getestet.
Ist ja keine Kritik, sondern das was es war. Eine Verständnisfrage.
Was du da bei Windows annimmst, mache ich auch manchmal um die Waage zu halten zu den ganzen vollkommen übertrieben aufgebauschten Kleinigkeiten. Letzteres führt zwangsweise dazu, dass Microsoft erst recht versuchen muss es kleinzureden, damit nach dem mist der daraus gebracht wird, vielleicht ein brauchbares Mittel entsteht. Das wiederum führt dazu dass wir noch mehr hinterfragen usw. usw. Todesspirale.
Das Schöne ist, dass das mehrere Leute dazu gebracht hat, sich diese Interaktionen genauer anzuschauen, und deswegen dann Dirty Frag gefunden wurde, das anders funktioniert, aber auch den Page Cache benutzt. Im Gegensatz zu Windows braucht man sich keine Gedanken zu machen, ob da aus Verkaufsinteresse was klein geredet und geheim gehalten wird, stattdessen schauen jetzt Sicherheitsforscher genau diese Mechanismen an und die weltweite Community überlegt alternative Lösungen, die dann sicher sind.