NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2026D08: Dirty Frag root exploit acties
~~
{{htmlmetatags>
metatag-keywords=(dirty frag root exploit)
metatag-og:title=(Dirty Frag root exploit acties)
metatag-og:description=(
	Op 8 mei 2026 is er een kwetsbaarheid in de linux kernel openbaar
	gemaakt, genaamd Dirty Frag, een vervolg op de eerdere Copy Fail
	kwetsbaarheid.
	Dit een weer zogeheten "Local Privilege Escalation", wat betekent dat
	iedereen die als gewone gebruiker toegang heeft tot een kwetsbaar
	systeem zich op dat systeem eenvoudig tot superuser kan
	verheffen. Het blijkt dat een groot deel van de linux systemen in de
	wereld hier kwetsbaar voor zijn.

	Bij Hosting & Streaming zijn CHP en de on-prem Proxmox systemen
	kwetsbaar. De on-prem netboot omgeving is (wederom) niet
	kwetsbaar.

	Deze keer kan op alle omgevingen de mitigatie zonder reboots (en
	dus zonder impact voor de gebruikers) uitgerold worden. Dit doen
	we zo snel mogelijk, naar verwachting nog in de middag van
	vrijdag 8 mei.

	We houden u op de hoogte van verdere ontwikkelingen.

	)
}}

====== C2026D10: Dirty Frag root exploit acties ======
(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Op 8 mei 2026 is er een kwetsbaarheid in de linux kernel openbaar
gemaakt, genaamd Dirty Frag, een vervolg op de eerdere Copy Fail
kwetsbaarheid.
Dit een weer zogeheten "Local Privilege Escalation", wat betekent dat
iedereen die als gewone gebruiker toegang heeft tot een kwetsbaar
systeem zich op dat systeem eenvoudig tot superuser kan
verheffen. Het blijkt dat een groot deel van de linux systemen in de
wereld hier kwetsbaar voor zijn.

Bij Hosting & Streaming zijn CHP en de on-prem Proxmox systemen
kwetsbaar. De on-prem netboot omgeving is (wederom) niet
kwetsbaar.

Deze keer kan op alle omgevingen de mitigatie zonder reboots (en
dus zonder impact voor de gebruikers) uitgerold worden. Dit doen
we zo snel mogelijk, naar verwachting nog in de middag van
vrijdag 8 mei.

We houden u op de hoogte van verdere ontwikkelingen.

Omdat eventuele aanvallers inmiddels ook beter voorbereid zullen zijn
dan de vorige keer verwachten we dat het risico voor met name CHP nu ook
hoger is dan de vorige ronde.
Tegelijkertijd is de impact van de mitigatie minder, omdat er geen
reboots nodig zijn. Daarom kiezen we ervoor om de mitigatie zo snel
mogelijk door te voeren.
Voor CHP5 zijn inmiddels de sandbox- en testomgeving gepatched.
De CHP5 productieomgeving volgt later deze middag, nadat we hebben
vastgesteld dat er in test geen onverwachte dingen gebeuren.

====== Overzicht betrokken omgevingen ======
^Naam		^Wat draait erin					^Vulnerable	^Risico ^Status	^
|CHP5		|webhosting omgeving voor omroepen en NPO teams		|Ja		|Hoog	|mitigatie wordt vrijdagmiddag 8 mei uitgerold	|
|Cerberus	|CHP/AWS SSO, monitoring, beheer			|Ja		|Middel |mitigatie wordt vrijdagmiddag 8 mei uitgerold	|
|PowerDNS	|PowerDNS + 2 bind slaves				|Ja		|Middel	|mitigatie wordt vrijdagmiddag 8 mei uitgerold	|
|netboot	|DNS, Mail, Icecast, ARLA, Monitoring, redir, backend	|Nee		|Laag	|hier hoeft (wederom) niets te gebeuren. Later dit voorjaar komt er een rondje reboots om netboot //nog// veiliger te maken op dit vlak.	|
|Proxmox	|alle on-prem VM's					|Ja		|Middel |mitigatie wordt vrijdagmiddag 8 mei uitgerold	|
|be1		|RCRS							|vermoedelijk	|Middel |mitigatie wordt vrijdagmiddag 8 mei uitgerold	|

We verwachten dat over het weekend de diverse leveranciers
patches beschikbaar zullen stellen. Maar we beraden ons er nog op of we
die daadwerkelijk zullen gaan gebruiken.Want de mitigatie is nl ook
100% afdichtend en het is helemaal niet ondenkbaar dat er op korte
termijn nog weer een gerelateerd probleem wordt gevonden.

===== Bereikbaarheid =====
Team Hosting&Streaming is gedurende al het onderhoud via de normale
kanalen bereikbaar. Zie de [[:contact|contact pagina]].