Sicherheitshinweis: zwei Linux-Kernel-Schwachstellen — Fragnesia (CVE-2026-46300) und ssh-keysign-pwn (CVE-2026-46333)

Im Mai 2026 wurden nur wenige Wochen nach Copy Fail zwei weitere schwerwiegende Schwachstellen im Linux-Kernel veröffentlicht:

• Fragnesia (CVE-2026-46300, CVSS 7.8), veröffentlicht am 13. Mai 2026, ist eine Schwachstelle im Subsystem XFRM ESP-in-TCP, die es einem unprivilegierten lokalen Benutzer erlaubt, beliebige Bytes in den Seitencache (Page Cache) schreibgeschützter Dateien wie /usr/bin/su zu schreiben und mit einem einzigen Befehl Root-Rechte zu erlangen. Eine Race Condition ist nicht erforderlich, ein öffentlicher Proof-of-Concept existiert.
• ssh-keysign-pwn (CVE-2026-46333), veröffentlicht am 14. Mai 2026, ist eine ptrace-Exit-Race-Schwachstelle, mit der ein unprivilegierter lokaler Benutzer beim Beenden privilegierter Prozesse deren Dateideskriptoren stehlen kann. So lassen sich Root-eigene Dateien lesen, darunter private SSH-Hostschlüssel (/etc/ssh/ssh_host_*_key) und die Passwortdatenbank (/etc/shadow). Ein öffentlicher Proof-of-Concept existiert.

Beide Schwachstellen betreffen alle gängigen Linux-Distributionen, darunter Debian, Ubuntu, RHEL, AlmaLinux, Rocky, SUSE, Fedora und Arch. Es handelt sich um zwei verschiedene Fehler mit unterschiedlichen Korrekturen, auf den meisten Distributionen werden jedoch beide durch ein einziges Kernel-Update und einen Neustart behoben.

Was wir bereits unternommen haben

In den letzten Tagen haben wir die gesamte MMITech-Infrastruktur aktualisiert. Alle Hypervisoren, internen Server und Plattformkomponenten laufen mit gepatchten Kerneln. In einigen Fällen war im Rahmen des Host-Kernel-Updates auch ein Neustart des VPS erforderlich.

Kunden mit einem Managed-Services-Vertrag für ihren Linux-VPS oder dedizierten Server wurden von unseren Technikern bereits aktualisiert. Aufgrund der Schwere haben wir Kernel-Update und Neustart ohne vorherige individuelle Benachrichtigung durchgeführt. Sie müssen nichts unternehmen.

Was Sie tun müssen

Wenn Sie bei uns einen unverwalteten Linux-VPS oder dedizierten Server betreiben, aktualisieren Sie bitte umgehend den Kernel und starten Sie den Server neu. Dies gilt für jede Linux-Distribution.

Übliche Aktualisierungsbefehle:

• Debian / Ubuntu: apt update && apt full-upgrade && reboot
• RHEL / AlmaLinux / Rocky / Fedora: dnf upgrade --refresh && reboot

Austausch der SSH-Hostschlüssel (ssh-keysign-pwn)

Da ssh-keysign-pwn eine Informationslecke ist, sollten Ihre privaten SSH-Hostschlüssel als potenziell offengelegt betrachtet werden, wenn vor dem Patch nicht vertrauenswürdige Benutzer Shell-Zugriff auf Ihren Server hatten. Austausch der Hostschlüssel:

rm /etc/ssh/ssh_host_*_key*
ssh-keygen -A
systemctl restart ssh   # ali sshd

Zurückkehrende SSH-Clients sehen eine Warnung über den geänderten Hostschlüssel, bis ihre known_hosts-Datei aktualisiert ist.

Sie brauchen Hilfe?

Wenn Sie das Update oder den Austausch der SSH-Hostschlüssel nicht selbst durchführen möchten, öffnen Sie bitte ein Support-Ticket. Unser Team unterstützt Sie gern.