Red Hat hat das Bulletin RHSB-2026-004 "File Descriptor Theft via Process Exit Race Condition" für eine Race Condition im Linux-Kernel veröffentlicht: CVE-2026-46333, im Umlauf als "ssh-keysign-pwn" oder "ptrace exit-race". Red Hat klassifiziert sie als Important, NVD listet CVSS 5.5. Betroffen sind RHEL 8, 9 und 10 sowie OpenShift Container Platform 4. Rocky Linux und AlmaLinux liefern bereits Patches aus, Red Hat zieht über das verlinkte Bulletin nach. Bis der reguläre Kernel-Patch eingespielt ist, gilt die offizielle Mitigation über den Yama-ptrace-Scope.
Rocky Linux startet ein optionales security-Repository für kritische Hot-Fixes, solange RHEL noch keinen Patch hat. Erster Anwendungsfall ist Dirty Frag (CVE-2026-43284), eine lokale Privilege Escalation im Linux-Kernel mit funktionierendem Public-PoC. Das Repo ist nicht standardmässig aktiv und muss bewusst eingeschaltet werden.
Red Hat hat das Bulletin RHSB-2026-003 "Dirty Frag" für eine lokale Privilege Escalation im Linux-Kernel-Netzwerk-Subsystem veröffentlicht. Im Bulletin zusammengefasst: CVE-2026-43284 im IPsec-ESP-Pfad (Dirty Frag) und CVE-2026-46300 in der ESP-in-TCP-Variante (Fragnesia). Red Hat klassifiziert beide als Important. Betroffen sind RHEL 8, 9 und 10 sowie OpenShift Container Platform 4. Patches werden laut Bulletin beschleunigt vorbereitet. Bis sie eingespielt sind, gilt eine der beiden offiziellen Mitigationen.
CVE-2026-31431 ist eine lokale Privilege Escalation im Linux-Kernel-Crypto-API. Red Hat klassifiziert sie als Important (CVSS 7.8). Betroffen sind RHEL 8, 9 und 10 (kernel und kernel-rt) sowie OpenShift Container Platform 4. Bis der Kernel-Patch eingespielt ist, gilt die offizielle Boot-Parameter-Mitigation, und die sollte auf jedem RHEL-Host sofort gesetzt werden.
Firewall Builder (fwbuilder) kennt kein nftables und wird seit Jahren nicht weiterentwickelt. FirewallFabrik ist der moderne Nachfolger: ein kompletter Rewrite in Python und Qt6 mit nativer nftables-Unterstützung, nahtloser Migration bestehender .fwb-Dateien und einer GUI, die sich genauso anfühlt wie das Original.
Nextcloud bietet drei Verschlüsselungsebenen: Transportverschlüsselung (TLS), Server-Side Encryption (SSE) und End-to-End Encryption (E2EE). Welche wann sinnvoll ist und was wir bei der Linuxfabrik einsetzen.
Das Center for Internet Security (CIS) empfiehlt für RHEL und kompatible Distributionen ein Partitionierungsschema mit mehreren ausgelagerten Verzeichnissen wie /home, /tmp, /var und /var/log. Mit dem Logical Volume Manager (LVM) bleibt der administrative Aufwand für spätere Anpassungen überschaubar.
