Copy Fail Update #1: Kritische Linux-Kernel-Schwachstelle ermöglicht lokale Root-Rechte

30. April 2026

Beschreibung

Die Schwachstelle steckt im Linux-Kernel und beruht auf einem simplen, aber schweren Logikfehler. Benutzer:innen können dadurch mit wenig Daten gezielt in eigentlich geschützte Speicherbereiche schreiben. Das reicht aus, um interne Strukturen zu verändern und sich höhere Rechte zu verschaffen. Der Vorgang funktioniert zuverlässig und ohne typische Hürden wie Race Conditions oder spezielle Systemabhängigkeiten.

CVE-Nummer: CVE-2026-31431

CVSS Base Score: 7.8

Auswirkungen

Die Schwachstelle ermöglicht eine lokale Rechteausweitung bis Root mit anschließend vollständiger Kontrolle über das System. Ein einfacher Benutzerzugang reicht aus, um Sicherheitsgrenzen zu umgehen, Prozesse zu manipulieren und das System komplett zu kompromittieren.

Betroffene Systeme

Kernel, die zwischen 2017 und der Veröffentlichung des Patches erstellt wurden, und damit praktisch alle gängigen Linux-Distributionen, gelten als betroffen.

Bisher verifizierte Systeme:

  • Ubuntu 24.04 LTS 6.17.0-1007-aws
  • Amazon Linux 2023 6.18.8-9.213.amzn2023
  • RHEL 10.1 6.12.0-124.45.1.el10_1
  • SUSE 16 6.12.0-160000.9-default

Abhilfe

Entscheidend ist, den Linux-Kernel zeitnah auf eine gepatchte Version zu aktualisieren, da nur so die zugrunde liegende Logiklücke geschlossen wird (behoben im Commit a664bf3d603d). Bis dahin lässt sich das Risiko lediglich begrenzen, etwa indem der Zugriff für nicht vertrauenswürdige lokale Nutzer*innen eingeschränkt und überflüssige Kernel-Funktionen deaktiviert werden. Ein vollständiger Schutz ist ohne Update jedoch nicht möglich.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

 

Update #1

04.05.2026 Wir haben den Hinweis erhalten, dass ein Workaround existiert, der auf Systemen greift, bei denen der betroffene Code in einem Kernel-Modul enthalten ist (wie unter anderem Debian-basierte Systeme wie Ubuntu). Dabei wird das Laden des Moduls verhindert.

Dies geschieht über die Datei disable-algif-aead.conf im Verzeichnis /etc/modprobe.d mit folgendem Inhalt:

install algif_aead /bin/false

Dadurch wird das Laden des betroffenen Kernel-Moduls unterbunden.

Falls das Modul bereits geladen wurde könnte möglicherweise bereits ein Exploit stattgefunden haben.

Wir möchten auch darauf hinweisen, dass vor der Anwendung des Workarounds geprüft werden muss, ob die betreffende Komponente im eigenen Anwendungsfall benötigt wird. Ist dies der Fall, kann der Workaround unerwünschte Nebenwirkungen haben oder das System möglicherweise beeinträchtigen bzw. unbrauchbar machen.

Informationsquelle(n):

Copy Fail
https://copy.fail/