Der Copy Fail in vier verschiedenen Distributionen.
Eine kürzlich veröffentlichte, kritische Schwachstelle im kryptografischen Subsystem des Linux-Kernels ermöglicht die vollständige Rechteausweitung auf Root-Ebene.
Die „Copy Fail“ getaufte Schwachstelle betrifft nahezu alle großen Distributionen der letzten neun Jahre und lässt sich durch ein kleines Python-Skript ausnutzen.
Die unter CVE-2026-31431 geführte Sicherheitslücke resultiert aus einem Logikfehler im algif_aead-Modul der Kernel-Crypto-API. Durch eine 2017 eingeführte Optimierung können Daten direkt im Page-Cache verarbeitet werden. In Kombination mit der splice()-Funktion entsteht ein Szenario, bei dem der Kernel fälschlicherweise vier Bytes an Informationen über die legitime Puffergrenze hinaus in den Cache einer schreibgeschützten Datei schreibt. Da diese Manipulation ausschließlich im Arbeitsspeicher stattfindet, schlagen klassische Datei-Integritätsprüfungen auf dem Datenträger nicht an.
Ein lokaler, unprivilegierter Nutzer kann diesen Mechanismus nutzen, um den Page-Cache von SUID-Binärdateien wie /usr/bin/su oder /etc/passwd im Speicher zu manipulieren. Ein Python-Skript von lediglich 732 Bytes reicht aus, um diese vier Bytes so zu platzieren, dass der Authentifizierungsprozess umgangen wird und eine Root-Shell bereitsteht. Die Schwachstelle ist besonders kritisch für Multi-Tenant-Umgebungen und Container-Plattformen, da der Page-Cache auf dem Host-System geteilt wird und somit ein Ausbruch aus isolierten Umgebungen ermöglicht wird.
Die Lücke betrifft fast alle Kernel-Versionen seit 2017 und damit auch fast alle aktuellen Releases, darunter Ubuntu 24.04 LTS, RHEL 10.1 und SUSE 16. Patches wurden bereits in die Kernel-Zweige 6.18.22, 6.19.12 und die neue Version 7.0 integriert. Administratoren, die nicht unmittelbar aktualisieren können, wird empfohlen, das Modul algif_aead zu deaktivieren, um den Angriffsvektor ohne nennenswerte Beeinträchtigung des regulären Systembetriebs zu schließen.
