20. Mai 2026
Beschreibung
In Drupal Core existiert eine SQL-Injection-Schwachstelle in der
Datenbank-Abstraktions-API. Speziell gestaltete Anfragen können zu
beliebigen SQL-Injections führen. Die Schwachstelle ist ausschließlich
für Drupal-Installationen relevant, die PostgreSQL als Datenbank
einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen
ausgenutzt werden.
Zusätzlich zur SQL-Injection enthalten die Drupal-Releases für die
unterstützten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch
Sicherheitsaktualisierungen für die Abhängigkeiten Symfony und Twig.
Diese Abhängigkeits-Updates betreffen unabhängig von der eingesetzten
Datenbank alle Drupal-Installationen.
CVE-Nummer(n): CVE-2026-9082
CVSS Base Score: N/A
Auswirkungen
Angreifer:innen können ohne Authentifizierung speziell gestaltete
Anfragen senden und so beliebigen SQL-Code ausführen. Mögliche Folgen
sind die Offenlegung von Informationen sowie in bestimmten
Konstellationen Privilegieneskalation, Remote Code Execution oder
weitere Angriffe.
Auch wenn die SQL-Injection nur PostgreSQL-Installationen betrifft,
sind durch die mitveröffentlichten Updates für Symfony und Twig je nach
Konfiguration und eingesetzten Contrib-Modulen alle Drupal-Sites
potenziell von weiteren Schwachstellen betroffen.
Betroffene Systeme
Drupal Core in folgenden Versionsbereichen:
* Drupal 11.3.x: Versionen vor 11.3.10
* Drupal 11.2.x: Versionen vor 11.2.12
* Drupal 11.1.x und 11.0.x: Versionen vor 11.1.10 (End-of-Life)
* Drupal 10.6.x: Versionen vor 10.6.9
* Drupal 10.5.x: Versionen vor 10.5.10
* Drupal 10.4.x und frühere 10er-Versionen: vor 10.4.10 (End-of-Life)
* Drupal 9.x: alle Versionen (End-of-Life)
* Drupal 8.9.x: alle Versionen (End-of-Life)
Abhilfe
Drupal stellt für die unterstützten Versionszweige folgende
Sicherheitsaktualisierungen bereit:
* Drupal 11.3.x: Update auf 11.3.10
* Drupal 11.2.x: Update auf 11.2.12
* Drupal 10.6.x: Update auf 10.6.9
* Drupal 10.5.x: Update auf 10.5.10
Für nicht mehr unterstützte Minor-Branches wurden ausschließlich zur
Behebung dieser Schwachstelle gezielte Versionen veröffentlicht:
* Drupal 11.1.x und 11.0.x: Update auf 11.1.10
* Drupal 10.4.x und frühere 10er-Versionen: Update auf 10.4.10
Aufgrund der Schwere der Schwachstelle stellt Drupal zusätzlich manuell
anzuwendende Patches für die End-of-Life-Versionen Drupal 9.5 und
Drupal 8.9 bereit. CERT.at empfiehlt für diese Versionen mittelfristig
eine Migration auf einen unterstützten Versionszweig.
Sites, die Drupal Steward einsetzen, sind laut Hersteller bereits vor
bekannten Angriffsvektoren geschützt; die Aktualisierung sollte dennoch
zeitnah erfolgen.
Da die Aktualisierungen auch Symfony und Twig betreffen, wird empfohlen
zu überprüfen, welche Benutzerrollen Twig-Templates aktualisieren
können (etwa über Views oder Contrib-Module).
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n)
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004
(Englisch)
https://www.drupal.org/sa-core-2026-004
Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18
(Englisch)
https://www.drupal.org/psa-2026-05-18
Vorankündigung: Kritische Sicherheitslücke in Drupal Core -
Patch-Verfügbarkeit am 20. Mai 2026 (Deutsch)
https://www.cert.at/de/aktuelles/2026/5/drupal-critical-preannounce
Mit freundlichen Grüßen,
Güneş Holler
--
// Güneş Holler <holler(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
Beschreibung
Am 7. Mai 2026 wurden zwei neue Schwachstellen im Linux-Kernel
öffentlich gemacht, die unter den Namen „Dirty Frag“ und „Copy Fail 2:
Electric Boogaloo“ bekannt sind. Beide Schwachstellen ermöglichen
lokalen, nicht privilegierten Benutzer:innen eine Eskalation auf root.
Sie liegen in den In-Place-Entschlüsselungspfaden der Kernel-Module
esp4, esp6 (IPsec/ESP) sowie rxrpc und nutzen Page-Cache-Writeprimitives
aus, indem über splice(2), sendfile(2) bzw. MSG_SPLICE_PAGES angehängte,
nicht kernelseitig privat gehaltene Seiten direkt überschrieben werden.
Funktionsfähige Proof-of-Concept-Exploits (PoCs) sind öffentlich
verfügbar und ermöglichen die Eskalation auf root in einem einzigen
Aufruf.
CVE-Nummer(n): CVE-2026-43284 (Dirty Frag), N/A (Copy Fail 2)
CVSS Base Score: noch nicht vergeben
Auswirkungen
Lokale, nicht privilegierte Angreifer:innen können durch Ausnutzung der
Schwachstellen beliebige Inhalte im Page-Cache des Kernels überschreiben
und sich dadurch root-Rechte auf dem betroffenen System verschaffen. Es
handelt sich um deterministische Logikfehler ohne Race-Condition; bei
einem Fehlschlag tritt keine Kernel-Panik auf, die
Erfolgswahrscheinlichkeit wird als hoch beschrieben.
Der xfrm-ESP-Pfad setzt die Möglichkeit zur Erstellung von
User-Namespaces voraus. Der RxRPC-Pfad benötigt diese Voraussetzung
nicht, ist jedoch nur auf Distributionen ausnutzbar, in denen das Modul
rxrpc.ko verfügbar bzw. geladen ist. Durch Verkettung beider Pfade lässt
sich auf den meisten gängigen Distributionen root erlangen.
Bestehende Gegenmaßnahmen gegen „Copy Fail“ (CVE-2026-31431),
insbesondere das Sperren des Moduls algif_aead, schützen NICHT gegen
„Dirty Frag“ oder „Copy Fail 2“.
Betroffene Systeme
Betroffen sind die meisten aktuellen Linux-Distributionen mit
aktiviertem Page-Cache-Pfad in esp4/esp6 bzw. rxrpc. Die
zugrundeliegenden Code-Stellen existieren laut Hersteller- und
Forscher:innen-Angaben seit Kernel-Commit cac2661c53f3 (xfrm-ESP, Januar
2017) bzw. 2dc334f1a63a (RxRPC, Juni 2023). Die folgende Aufstellung ist
daher nicht abschließend; sie führt nur diejenigen Distributionen auf,
deren Hersteller die Betroffenheit bisher öffentlich bestätigt haben
oder für die der Forscher die Ausnutzung explizit getestet hat:
* Ubuntu 24.04 (vom Forscher getestet auf Kernel 6.17)
* Red Hat Enterprise Linux 10.1 (vom Forscher getestet); Red Hat hat
in RHSB-2026-003 die Betroffenheit zudem für Red Hat OpenShift
Container Platform 4 bestätigt
* CentOS Stream 10
* AlmaLinux 8, 9 und 10 (gepatcht in kernel-4.18.0-553.123.2.el8_10,
kernel-5.14.0-611.54.3.el9_7 bzw. kernel-6.12.0-124.55.2.el10_1 und
neuer)
* Fedora 44
* openSUSE Tumbleweed
* CloudLinux 7h, 8, 9 und 10 (CloudLinux 7 wird vom Hersteller noch
untersucht)
* BlueOnyx 5210R, 5211R, 5212R
Amazon Linux untersucht laut Sicherheitsbulletin 2026-027-AWS aktuell
den genauen Umfang der betroffenen Versionen.
Distributionen, die unprivilegierte User-Namespaces standardmäßig
blockieren (z. B. Ubuntu via AppArmor in bestimmten Konfigurationen),
sind über den xfrm-ESP-Pfad nicht angreifbar, bleiben aber über den
RxRPC-Pfad anfällig, sofern das Modul vorhanden ist.
Abhilfe
Zum Zeitpunkt der Veröffentlichung dieser Warnung liegen für die meisten
Distributionen noch keine vollständig gepatchten Kernel vor. Der
Upstream-Fix für den ESP-Pfad wurde am 7. Mai 2026 in den netdev-Tree
aufgenommen (Commit f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4); der
RxRPC-Fix ist noch nicht gemergt. Einzelne Distributionen (u. a.
AlmaLinux, CloudLinux) haben gepatchte Kernel bzw.
KernelCare-Livepatches in Vorbereitung oder bereits in Test bzw.
Auslieferung.
CERT.at empfiehlt, die folgenden Maßnahmen umzusetzen:
* Sicherheitsaktualisierungen der jeweiligen Distribution einspielen,
sobald diese verfügbar sind, und das System neu starten.
* Bis zur Verfügbarkeit gepatchter Kernel die betroffenen
Kernel-Module sperren, sofern sie nicht produktiv benötigt werden. Die
Module esp4 und esp6 werden für IPsec-Tunnel (z. B. strongSwan,
Libreswan) verwendet; rxrpc wird nahezu ausschließlich von AFS-Clients
genutzt. Auf Systemen, die diese Funktionen nicht einsetzen, kann das
Sperren der Module ohne Funktionsverlust erfolgen, beispielsweise
durch Eintragen entsprechender Regeln in /etc/modprobe.d/ und Entladen
aktuell geladener Module.
* Auf Hosts, die IPsec-Tunnel terminieren oder weiterleiten, dürfen
die Module esp4/esp6 nicht gesperrt werden. In diesem Fall ist die
Installation eines gepatchten Kernels bzw. eines Livepatches
abzuwarten.
Mehrschichtige Mitigationen (Modul-Blacklist über modprobe.d sowie
zusätzlich modprobe.blacklist=... als Kernel-Parameter) erhöhen die
Wirksamkeit, insbesondere gegen ein automatisches Nachladen über Netlink
aus User-Namespaces heraus.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
___________________________________________________________________
Informationsquelle(n):
Dirty Frag - Disclosure und PoC durch Hyunwoo Kim (Englisch)
https://github.com/V4bel/dirtyfrag
Greg Kroah-Hartman zur CVE-Vergabe auf der oss-security-Mailingliste
(Englisch)
https://seclists.org/oss-sec/2026/q2/441
Copy Fail 2: Electric Boogaloo - Write-up und PoC (Englisch)
https://afflicted.sh/blog/posts/copy-fail-2.html
AlmaLinux: Dirty Frag vulnerability fix is ready for testing (Englisch)
https://almalinux.org/blog/2026-05-07-dirty-frag/
CloudLinux: Dirty Frag - Mitigation and Kernel Update (Englisch)
https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update
Red Hat: How to mitigate the „Dirty Frag“ vulnerability in OpenShift 4
(RHSB-2026-003) (Englisch)
https://access.redhat.com/solutions/7142250
Red Hat Security Bulletin RHSB-2026-003 (Englisch)
https://access.redhat.com/security/vulnerabilities/RHSB-2026-003
Amazon: Dirty Frag and other issues in Amazon Linux kernels (Englisch)
https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/
BlueOnyx: Security Advisory: Dirty Frag & Copy Fail 2 - Two New Linux
LCE Vulnerabilities (Englisch)
https://www.blueonyx.it/news/sec-adv-dirtyfrag-copyfail2.html
Upstream-Fix für den ESP-Pfad (netdev/net.git) (Englisch)
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?i
d=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4