🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Ubuntu kernel-updates: Fragnesia en Dirty Frag maken privilege-escalatie mogelijk

10 July 2026 · bron: Ubuntu USN-8529-1 / USN-8530-1 · Hoog — lokale privilege-escalatie en mogelijke container-escape

Ubuntu heeft in USN-8529-1 (generieke kernel) en USN-8530-1 (AWS-kernel) meerdere kernel-kwetsbaarheden gepatcht. Twee daarvan springen eruit voor een Docker-host.

De belangrijkste twee

  • Fragnesia — CVE-2026-43503: een logische fout in het XFRM ESP-in-TCP-subsysteem bij het verwerken van socket buffer-fragmenten. Een lokale aanvaller kan hiermee rechten verhogen of mogelijk uit een container ontsnappen.
  • Dirty Frag — CVE-2026-43284: verkeerde afhandeling van gedeelde page-fragmenten tijdens socket buffer-operaties, in zowel het XFRM ESP-in-TCP- als het RxRPC-subsysteem. Zelfde impact: privilege-escalatie of container-escape.

Daarnaast corrigeren de updates fouten in onder meer de InfiniBand-drivers, het SCSI- en thermal-subsysteem, de USB/IP-driver en de NFS- en SMB-serverdaemons.

Waarom dit relevant is voor deze stack

Deze server draait Docker. Een container-escape via een kernelfout doorbreekt de isolatie tussen containers en de host — precies het risico dat je bij een gedeelde kernel wilt dichten. Miniflux en Postgres draaien als containers op deze host.

Advies

Installeer de kernel-update en herstart de server zodat de nieuwe kernel actief wordt:

apt update && apt upgrade
# controleer welke kernel na reboot draait
uname -r

unattended-upgrades installeert de pakketten automatisch, maar een kernel-update vereist een reboot om effect te hebben. Plan die reboot bewust in.

Lees het origineel: https://ubuntu.com/security/notices/USN-8529-1

← terug naar overzicht