Deaktivieren der verwundbaren Kernel-Module esp4, esp6, rxrpc
Mitigation für CVE-2026-43284 / DirtyFrag

Einführung

Mit CVE-2026-43284 (auch bekannt als DirtyFrag) wurde eine lokale Schwachstelle zur Rechteausweitung im Linux-Kernel entdeckt. Dies betrifft alle Mindbreeze InSpire Appliances mit der Version 26.2 oder älter.

Mit der Mindbreeze InSpire 26.3 Release wird diese Schwachstelle unterbunden, indem verhindert wird, dass die verwundbaren Module geladen werden.

Ein nicht verwundbarer Kernel wird in einem anstehenden Mindbreeze InSpire Release bereitgestellt.

Ältere Mindbreeze InSpire Installationen können mit den beschriebenen Schritten in den nachfolgenden Kapiteln das Ausnutzen der Schwachstelle verhindern.

Achtung: Die Schritte zur Mitigation deaktivieren IPSec, da IPSec Kernel Module durch diese Schwachstelle betroffen sind..

Bereitstellung der Mitigation

Die folgenden Schritte sollten auf allen Member Nodes eines Mindbreeze InSpire Clusters durchgeführt werden:

1. Melden Sie sich via SSH beim Mindbreeze InSpire Server mit „root“ Credentials an.
2. Führen Sie den folgenden Befehl aus:

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/blacklist-dirtyfrag.conf

1. Führen Sie dann, diesen Befehl aus:

rmmod esp4 esp6 rxrpc 2>/dev/null

1. Starten Sie die Appliance neu.

Verifizierung

Bei korrekter Bereitstellung sollte der folgende Befehl diese Ausgabe erzeugen:

Befehl: modprobe esp4

Ausgabe:

modprobe: ERROR: libkmod/libkmod-module.c:796 command_do() Error running install command '/bin/false' for module esp4: retcode 1

modprobe: ERROR: could not insert 'esp4': Invalid argument