Ubuntu kernel-updates: Fragnesia en Dirty Frag maken privilege-escalatie mogelijk
Ubuntu heeft in USN-8529-1 (generieke kernel) en USN-8530-1 (AWS-kernel) meerdere kernel-kwetsbaarheden gepatcht. Twee daarvan springen eruit voor een Docker-host.
De belangrijkste twee
- Fragnesia — CVE-2026-43503: een logische fout in het XFRM ESP-in-TCP-subsysteem bij het verwerken van socket buffer-fragmenten. Een lokale aanvaller kan hiermee rechten verhogen of mogelijk uit een container ontsnappen.
- Dirty Frag — CVE-2026-43284: verkeerde afhandeling van gedeelde page-fragmenten tijdens socket buffer-operaties, in zowel het XFRM ESP-in-TCP- als het RxRPC-subsysteem. Zelfde impact: privilege-escalatie of container-escape.
Daarnaast corrigeren de updates fouten in onder meer de InfiniBand-drivers, het SCSI- en thermal-subsysteem, de USB/IP-driver en de NFS- en SMB-serverdaemons.
Waarom dit relevant is voor deze stack
Deze server draait Docker. Een container-escape via een kernelfout doorbreekt de isolatie tussen containers en de host — precies het risico dat je bij een gedeelde kernel wilt dichten. Miniflux en Postgres draaien als containers op deze host.
Advies
Installeer de kernel-update en herstart de server zodat de nieuwe kernel actief wordt:
apt update && apt upgrade
# controleer welke kernel na reboot draait
uname -r
unattended-upgrades installeert de pakketten automatisch, maar een kernel-update vereist een
reboot om effect te hebben. Plan die reboot bewust in.