Fragnesia und ssh-keysign-pwn: Zwei kritische Linux-Kernel-Lücken einfach erklärt

ssh-keysign-pwn (CVE‑2026‑46333): Zugriff auf Root‑Geheimnisse

Die zweite Schwachstelle trägt den Namen ssh‑keysign‑pwn. Anders als Fragnesia verschafft sie nicht direkt Root‑Rechte, sondern ermöglicht Information Disclosure – also das Auslesen sensibler Daten aus Prozessen oder Dateien, die normalerweise nur Root zugänglich sind .

Der Fehler liegt in der ptrace‑Zugriffskontrolle des Linux‑Kernels, genauer in der Funktion ptrace_may_access(). Dort wird ein Prozess‑Attribut namens „dumpability“ falsch behandelt, wenn Prozesse ohne zugehörige Speicherverwaltungsstruktur geprüft werden .

Dadurch können Sicherheitsprüfungen fehlschlagen, sodass ein nicht privilegierter Prozess Informationen aus einem höher privilegierten Prozess auslesen kann.

In der Praxis lassen sich so beispielsweise folgende Daten stehlen:

• SSH‑Host‑Private‑Keys aus /etc/ssh/
• Passworthashes aus /etc/shadow

Ein veröffentlichtes Proof‑of‑Concept nutzt dafür das setuid‑root‑Hilfsprogramm ssh-keysign. Dieses öffnet Host‑Key‑Dateien zunächst mit Root‑Rechten und senkt erst danach seine Privilegien. Angreifer hängen sich in genau diesem Moment an den Prozess und lesen den offenen Dateideskriptor oder Speicherinhalt aus .

Der Fehler wurde inzwischen in mehreren stabilen Kernel‑Versionen behoben, darunter 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 und 5.10.256 .

Teil einer größeren Welle von Kernel‑Bugs

Fragnesia und ssh‑keysign‑pwn tauchten nicht isoliert auf. Sicherheitsforscher beobachteten innerhalb von etwa zwei Wochen mehrere Kernel‑Schwachstellen, darunter Dirty Frag und verschiedene Copyfail‑Varianten .

Diese Lücken haben mehrere Gemeinsamkeiten:

• Sie betreffen zentrale Kernel‑Subsysteme wie Networking oder Prozess‑Tracing.
• Sie setzen voraus, dass ein Angreifer bereits lokalen Code ausführen kann.
• Sie ermöglichen anschließend Privilegieneskalation oder Zugriff auf sensible Daten.

Das ist besonders gefährlich in Szenarien, in denen ein Angreifer zunächst nur eingeschränkten Zugang erhält – etwa über eine kompromittierte Web‑App, gestohlene Zugangsdaten oder einen Container‑Breakout. Kernel‑Bugs können dann den letzten Schritt zum vollständigen Systemzugriff ermöglichen.

Was Administratoren jetzt tun sollten

Da beide Probleme den Kernel selbst betreffen, reicht ein normales Paketupdate nicht aus. Der aktualisierte Kernel muss aktiv gebootet werden.

Wichtige Sofortmaßnahmen:

• Kernel aktualisieren. Die meisten Distributionen haben bereits Patches veröffentlicht.
• System neu starten, damit der gepatchte Kernel aktiv wird.
• Kernelversion prüfen, z. B. mit

  uname -r

  , um sicherzustellen, dass eine korrigierte Version läuft.

Einige Distributionen – etwa AlmaLinux – liefern Updates für beide CVEs bereits über die regulären Paketquellen aus .

Temporäre Schutzmaßnahmen

Wenn ein sofortiges Update nicht möglich ist, können kurzfristige Maßnahmen die Angriffsfläche reduzieren.

Für Fragnesia

Nicht benötigte Netzwerkmodule können deaktiviert oder blockiert werden, etwa:

• esp4
• esp6
• rxrpc

Das reduziert den Angriffspfad, kann jedoch IPsec‑ oder VPN‑Funktionen beeinträchtigen .

Für ssh-keysign-pwn

Eine strengere ptrace‑Konfiguration kann bekannte Exploits blockieren, z. B. durch Erhöhen von:

kernel.yama.ptrace_scope=2 oder 3

Allerdings können dadurch Debug‑Werkzeuge wie strace oder gdb nicht mehr funktionieren. Diese Maßnahme sollte daher nur als temporärer Workaround gelten .

Fazit

Die beiden Schwachstellen zeigen erneut, wie kritisch Post‑Compromise‑Kernel‑Bugs sind. Schon ein eingeschränkter Zugang zu einem Linux‑System kann ausreichen, um anschließend Root‑Kontrolle zu erlangen oder sensible Geheimnisse auszulesen.

Die wichtigsten Schritte für Organisationen sind klar:

• Kernel‑Updates installieren, die CVE‑2026‑46300 und CVE‑2026‑46333 beheben
• Systeme neu starten
• Bei möglicher Kompromittierung SSH‑Hostschlüssel rotieren und sensible Zugangsdaten prüfen

Da bereits öffentliche Proof‑of‑Concept‑Exploits existieren, steigt das Risiko realer Angriffe mit jeder Verzögerung beim Patchen deutlich.