Linux dağıtımları, saldırganların çekirdek düzeyinde kötü amaçlı kod çalıştırmasına olanak tanıyan yüksek önem dereceli bir ayrıcalık yükseltme zafiyeti için yamalar yayınlamaya başladı. CVE-2026-46300 numarasıyla takip edilen Fragnesia, Linux XFRM ESP-in-TCP alt sistemindeki bir mantık hatasından kaynaklanırken ayrıcalıksız yerel saldırganların salt okunur dosyaların çekirdek sayfa önbelleğine keyfi bayt yazmasına izin veriyor. Zellic güvence başkanı William Bowling tarafından keşfedilen bu Linux güvenlik açığı, /usr/bin/su ikili dosyasının sayfa önbellek bellek bölgesini bozarak kök ayrıcalıklarına sahip bir kabuk elde edilmesini sağlayan bir kavram kanıtı koduyla birlikte duyuruldu.

Yeni Zafiyet Dirty Frag Sınıfına Ait ve 13 Mayıs Öncesi Tüm Çekirdekleri Etkiliyor

Bowling, Fragnesia zafiyetinin geçen hafta ifşa edilen Dirty Frag sınıfının bir üyesi olduğunu ve 13 Mayıs 2026’dan önce yayınlanan tüm Linux çekirdeklerini etkilediğini açıkladı. Dirty Frag, iki ayrı çekirdek zafiyetini (xfrm-ESP Sayfa-Önbellek Yazma CVE-2026-43284 ve RxRPC Sayfa-Önbellek Yazma CVE-2026-43500) zincirleyerek korumalı sistem dosyalarını bellekte değiştirmeyi başarmıştı. Bowling, Fragnesia’nın aynı yüzeyde farklı bir hata olduğunu ve bu ayrıcalık yükseltme işlemi için herhangi bir yarış koşulu gerektirmediğini belirtti.

Araştırmacının paylaştığı kavram kanıtı kodu, yetkisiz bir kullanıcının /usr/bin/su ikili dosyasının sayfa önbellek bellek bölgesini bozarak kök ayrıcalıklarına sahip bir kabuk elde edebildiğini gösteriyor. Bu XFRM ESP-in-TCP hatası, özellikle büyük Linux dağıtımlarını hedef alan saldırganlar için ciddi bir tehdit oluşturuyor. Bowling, Fragnesia’nın aynı yüzeyde farklı bir hata olduğunu ve düzeltme yönteminin Dirty Frag ile aynı olduğunu söyledi.

Sistemlerini hemen yamalayamayan kullanıcılar için Dirty Frag ile aynı geçici çözüm yöntemi öneriliyor. esp4, esp6 ve rxrpc çekirdek modüllerini kaldırmak, AFS dağıtık dosya sistemlerini ve IPsec VPN bağlantılarını devre dışı bırakma pahasına saldırılara karşı koruma sağlıyor. Linux dağıtımları halen Copy Fail tehdidi adı verilen başka bir ayrıcalık yükseltme zafiyeti için de yama dağıtıyor.

👉️ İlginizi Çekebilir: Microsoft Mayıs 2026 Patch Tuesday ile 120 Güvenlik Açığını Kapattı

CISA, 1 Mayıs’ta Copy Fail’i aktif istismar edilen güvenlik açıkları kataloğuna ekleyerek federal kurumlara 15 Mayıs’a kadar Linux sistemlerini güvence altına alma zorunluluğu getirdi. Amerikan siber güvenlik ajansı, bu tür zafiyetlerin kötü niyetli siber aktörler için sıkça kullanılan bir saldırı vektörü olduğu konusunda uyardı. Nisan ayında ise Linux dağıtımları, PackageKit arka plan programında on yıl boyunca fark edilmemiş Pack2TheRoot adlı bir ayrıcalık yükseltme zafiyetini yamalamıştı.