Rocky Linux Security-Repository

Rocky Linux startet ein optionales security-Repository für kritische Hot-Fixes, solange RHEL noch keinen Patch hat. Erster Anwendungsfall ist Dirty Frag (CVE-2026-43284), eine lokale Privilege Escalation im Linux-Kernel mit funktionierendem Public-PoC. Das Repo ist nicht standardmässig aktiv und muss bewusst eingeschaltet werden.

Update 2026-05-19: Das Repo ist live und führt deutlich mehr als nur einen Hot-Fix. Aktuell drin (Rocky 9): drei Kernel-Builds, die zusammen CVE-2026-43284 (Dirty Frag, IPsec ESP), CVE-2026-46300 (Fragnesia, ESP-in-TCP) und CVE-2026-46333 (ssh-keysign-pwn, ptrace get_dumpable()) adressieren. Rocky 8 und 10 führen parallele Hot-Fix-Reihen. Initial war auch CVE-2026-43500 (rxrpc) dabei; der Patch wurde nach Upstream-Entscheid wieder entfernt, betroffen ist seither nur das kernel-modules-partner-Paket aus dem unsupported devel repo.

Worum es geht

Rocky Linux hat seit jeher die Linie verfolgt, keine Pakete vor RHEL auszuliefern. Mit dem security-Repo wird das in eng definierten Notfällen aufgeweicht: kritische Lücke, öffentlich verfügbarer Exploit, Upstream-Patch noch nicht da. Das reguläre Release-Modell bleibt unverändert; BaseOS und AppStream ziehen weiterhin Upstream nach. Das security-Repo ist eine Ergänzung für Notfälle, kein Ersatz.

Erster Einsatz ist Dirty Frag. Die Schwachstelle betrifft Linux-Kernel-Versionen zurück bis 2017 und gilt laut Rocky-Security-Team als "highly reliable and deterministic" ausnutzbar, ohne Race-Conditions oder Timing-Abhängigkeiten. Lokaler Zugriff reicht. Exponiert sind vor allem Multi-Tenant-Hosts: Container-Plattformen, CI-Infrastruktur, HPC-Cluster, Hochschul-Systeme und alles mit Shell-Zugriff für mehrere User.

So aktivierst du das Security-Repo

Voraussetzung ist ein aktuelles rocky-repos-Paket:

$ sudo dnf update rocky-repos

Einmaliges Update aus dem Repo, ohne es dauerhaft zu aktivieren:

$ sudo dnf --enablerepo=security update
$ sudo systemctl reboot

Oder das Repo dauerhaft einschalten (legt /etc/yum.repos.d/Rocky-Security.repo an):

$ sudo dnf config-manager --set-enabled security
$ sudo dnf update
$ sudo systemctl reboot

Sobald Upstream nachzieht, werden die Hot-Fix-Pakete automatisch von den offiziellen Errata-Paketen aus BaseOS abgelöst. Das Versioning der Hot-Fixes ist entsprechend gesetzt.

Was das Repo nicht ist

• Keine erweiterten Stable-Updates. Im security-Repo liegen nur Hot-Fixes für eng umrissene Notfälle, nicht das volle Security-Errata-Spektrum. Reguläre Patches kommen weiterhin über BaseOS und AppStream, sobald Upstream sie liefert.
• Nicht standardmässig aktiv. Wer es nutzen will, muss es bewusst einschalten. Der Default bleibt stabilitätsorientiert wie bisher.
• Kein dauerhafter Bruch mit der Upstream-Treue. Die Maintainer betonen, dass die bisherige Linie grundsätzlich bleibt. Das Repo ist die ausdrücklich begrenzte Ausnahme für kritische Fälle.
• Keine Garantie für jeden CVE. Welche Lücken einen Hot-Fix bekommen, entscheidet das Rocky-Security-Team im Einzelfall. Die Ankündigung definiert keinen festen Scope.

Hinweise

• Rocky Linux 8, 9 und 10 sind unterstützt, jeweils auf dem aktuell gepflegten Minor-Release.
• Aus der Forum-Diskussion, nicht offiziell bestätigt: bei Rocky 8 kam es in Einzelfällen vor, dass GPG-Keys von Rocky 9 importiert wurden. Wer auf Rocky 8 aktiviert, sollte den Key-Import kurz prüfen.

Quelle

• Rocky Linux Forum: Security Repository and Dirty Frag Security Update

Wir helfen dir

Brauchst du Unterstützung beim Hot-Fix-Rollout oder bei der Härtung deiner Linux-Server? Schau dir doch mal unsere Service & Support-Modelle an und melde dich bei uns.