Bulletin-ID: 2026-029-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 13.05.2026, 13.45 Uhr PDT
Datum der letzten Aktualisierung: 14.05.2026 13:45 Uhr PDT
 

⚠️Dies ist ein fortlaufendes Problem. Die Informationen können sich ändern. Die aktuellsten Patching-Informationen finden Sie in unserem Sicherheitsbulletin (ID: 2026-030-AWS).

Beschreibung:

Amazon ist sich der Sicherheitslücke CVE-2026-46300 bewusst, bei der es sich um einen Bericht über ein weiteres Problem zur Berechtigungsausweitung im Linux-Kernel handelt, das mit der Problemklasse „DirtyFrag/copy.fail“ (CVE-2026-43284) in Zusammenhang steht. Der Machbarkeitsnachweis verwendet einen Vektor über das ladbare Modul espintcp. Amazon Linux und Bottlerocket bieten dieses Modul nicht an und sind nicht betroffen.

Als Teil unserer mehrschichtigen Sicherheitsstrategie werden wir einen Fehlerbehebungspatch für den Kern-Netzwerkcode einbauen, um mögliche ähnliche Probleme in Netzwerkprotokoll-Implementierungen, die auf diesem Verhalten basieren, zu beheben.

Sicherheitsbulletins zu ähnlichen Themen – Varianten von copy.fail:

1. Sicherheitsbulletin 2026-027-AWS – CVE-2026-43284 und CVE-2026-31431 (auch bekannt als „DirtyFrag“ oder „copy.fail 2“)
2. Sicherheitsbulletin 2026-026-AWS – CVE-2026-31431 (auch als „copy.fail“ bekannt)

Referenzen:

• https://github.com/v12-security/pocs/tree/main/fragnesia
• „Dirty Frag“ und andere Probleme in Amazon-Linux-Kerneln

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.