Thought Leadership
Eine Sicherheitslücke im Linux-Kernel hebelt die Rechteverwaltung auf Millionen von Servern aus. Betroffen sind alle großen Distributionen seit 2017.
Cybersecurity-Forscher von Xint.io und Theori haben Details zu einer neuen, hochgefährlichen Sicherheitslücke im Linux-Kernel veröffentlicht. Die Schwachstelle mit der Kennung CVE-2026-31431 und dem Codenamen Copy Fail ermöglicht es einem lokalen Nutzer ohne jegliche Privilegien, innerhalb von Sekunden volle Root-Rechte zu erlangen. Die Lücke ist portabel, extrem klein und betrifft nahezu jede bedeutende Linux-Distribution, die seit August 2017 ausgeliefert wurde.
Ein Fehler im Krypto-Subsystem
Der Ursprung von Copy Fail liegt tief im kryptografischen Subsystem des Kernels, genauer gesagt im Modul algif_aead. Im Jahr 2017 wurde eine Performance-Optimierung eingeführt, die sogenannte „In-Place“-Operationen für die Authenticated Encryption with Associated Data (AEAD) ermöglichte. Das Ziel war löblich: Speicherplatz sparen, indem Eingabe- und Ausgabedaten denselben Puffer verwenden.
Doch genau hier unterlief den Entwicklern ein logischer Fehler. Die Forscher fanden heraus, dass man durch eine geschickte Kombination von sendmsg() und os.splice() den Kernel dazu bringen kann, vier kontrollierte Bytes in den Page-Cache einer beliebigen, lesbaren Datei zu schreiben. Da der Page-Cache die Kopie einer Datei im Arbeitsspeicher verwaltet, wird die Datei für das laufende System manipuliert, ohne dass die Version auf der Festplatte verändert werden muss. Das bedeutet: Sicherheitsmechanismen, die nur die Datei auf der Disk prüfen, schlagen nicht an.
Der 732-Byte-Exploit: In vier Schritten zum Admin
Die Forscher demonstrierten die Schwere der Lücke mit einem nur 732 Byte großen Python-Skript. Es benötigt keine komplexen „Race Conditions“ oder unsicheren Speicher-Offsets, die bei vielen anderen Exploits oft zu Systemabstürzen führen. Copy Fail ist deterministisch und erschreckend zuverlässig. Der Angriff erfolgt in vier Schritten:
- Socket-Setup: Ein nicht privilegierter Prozess öffnet einen AF_ALG-Socket (standardmäßig für alle Nutzer verfügbar).
- Payload-Konstruktion: Das Skript bereitet eine winzige Shellcode-Payload vor.
- Page-Cache-Manipulation: Über den Logikfehler im Krypto-Modul werden gezielt vier Bytes in die im Speicher geladene Kopie von
/usr/bin/suoder/etc/passwdgeschrieben. - Ausführung: Sobald das System das manipulierte Programm ausführt, wird der injizierte Code mit Root-Rechten gestartet.
Cross-Container-Impact: Warum die Cloud besonders gefährdet ist
Ein kritischer Aspekt von Copy Fail ist die Tatsache, dass der Page-Cache systemweit geteilt wird. Das bedeutet, dass die Sicherheitslücke auch Container-Grenzen durchbricht. Ein Angreifer, der Zugriff auf einen unprivilegierten Container in einer Kubernetes-Umgebung hat, kann den Page-Cache des Host-Kernels korrumpieren. Damit sind potenziell alle anderen Mandanten (Tenants) auf demselben physischen Host gefährdet.
Sicherheitsexperten warnen, dass dies das gängige Sicherheitsmodell von „Shared-Kernel Multi-Tenancy“ unter Druck setzt. Wer keine MicroVMs (wie Firecracker) oder dedizierte Hosts nutzt, muss Copy Fail als unmittelbare Bedrohung für seine Cloud-Infrastruktur betrachten.
Ein Echo von Dirty Pipe
Copy Fail erinnert technisch stark an die berühmte „Dirty Pipe“-Lücke (CVE-2022-0847). Beide nutzen Schwächen im Umgang mit dem Page-Cache aus. Dass Copy Fail fast neun Jahre unentdeckt blieb, liegt vermutlich daran, dass der Krypto-Code im Kernel zwar intensiv auf mathematische Korrektheit geprüft wird, die zugrunde liegende Speicherverwaltung jedoch oft weniger im Fokus der Reviewer steht. Interessanterweise wurde die Lücke laut Berichten von einer KI-gestützten Security-Plattform innerhalb von nur einer Stunde Scan-Zeit identifiziert. Das ist ein deutliches Zeichen dafür, wie sich die Tools zur Schwachstellensuche verändern.
Ubuntu, Red Hat und Amazon Linux betroffen
Die großen Distributoren haben bereits mit Sicherheitsmitteilungen reagiert. Da die Schwachstelle im Mainline-Kernel seit 2017 existiert, ist die Liste der betroffenen Systeme lang:
| Distribution | Status am 30. April 2026 | Empfohlene Maßnahme |
| Ubuntu | Patch verfügbar (LTS & Stable) | Kernel-Update & Reboot |
| Red Hat (RHEL) | Advisory veröffentlicht | Update auf aktuellste Kernel-Version |
| Amazon Linux | Patches in AL2023 integriert | Sofortiges Update einspielen |
| SUSE / openSUSE | Sicherheitsupdate verfügbar | zypper patch ausführen |
| Debian | Fix in Stable/Unstable | apt-get upgrade |
Was Administratoren jetzt tun müssen
Sollten Sie Ihre Systeme nicht sofort patchen können, gibt es eine effektive Übergangslösung: Das Deaktivieren des betroffenen Kernel-Moduls. Da algif_aead auf den meisten Standard-Servern nicht zwingend für den Betrieb benötigt wird, kann es gefahrlos geblacklistet werden:
- Prüfen:
lsmod | grep algif_aead - Deaktivieren:
echo "blacklist algif_aead" > /etc/modprobe.d/copy-fail-mitigation.conf - Entladen:
rmmod algif_aead(falls nicht in Benutzung)
Angesichts der Einfachheit, mit der diese Lücke ausgenutzt werden kann, ist ein Aufschieben der Sicherheitsmaßnahmen grob fahrlässig. Ein 732-Byte-Skript ist alles, was zwischen einem Hacker und Ihrem gesamten Netzwerk steht.
