Heute ist der 30.04.2026 und die Entwicklergemeinschaft steht vor einer neuen Herausforderung: eine kritische Schwachstelle in Linux, die unter dem Namen „Copy Fail“ bekannt ist. Diese Sicherheitslücke, die als CVE-2026-31431 registriert wurde, erlaubt es Angreifern, Root-Rechte in allen seit 2017 veröffentlichten Linux-Distributionen zu erlangen. Die Entdeckung dieser Schwachstelle wurde durch Künstliche Intelligenz ermöglicht und ist seit dem 29. April 2026 bekannt.
Die Schwachstelle resultiert aus einem fehlerhaften „In-Place-Operation“ in der Routine algif_aead, die dazu führt, dass lokale, unprivilegierte Nutzer den Page-Cache von SUID-Binärdateien wie /usr/bin/su oder /etc/passwd manipulieren können. Um dies zu erreichen, können Angreifer ein Python-Skript einsetzen, das den Kernel anweist, Verschlüsselungen durchzuführen und dabei einen Implementierungsfehler ausnutzt. Dabei werden vier Bytes fälschlicherweise in den Cache einer schreibgeschützten Datei geschrieben, was zu einer gravierenden Beeinträchtigung der Datenintegrität führt.
Technische Details und Risiken
Die Schwachstelle hat einen CVSS-Score von 7.8 erhalten, was auf ein hohes Risiko für betroffene Systeme hinweist. Besonders problematisch ist die Tatsache, dass die Manipulation ausschließlich im Arbeitsspeicher stattfindet. Klassische Datei-Integritätsprüfungen schlagen hierbei nicht an, was das Entdecken des Angriffs erschwert. Die Optimierung aus dem Jahr 2017, die eine direkte Datenverarbeitung im Page-Cache ermöglicht, trägt maßgeblich zu dieser kritischen Situation bei.
Besonders betroffen sind nahezu alle großen Linux-Distributionen der letzten neun Jahre, einschließlich aktueller Releases wie Ubuntu 24.04 LTS, RHEL 10.1 und SUSE 16. Für Administratoren, die nicht sofort aktualisieren können, wird dringend empfohlen, das Modul algif_aead zu deaktivieren oder zu löschen, um den Angriffsvektor zu schließen.
Schutzmaßnahmen und Empfehlungen
Leider sind derzeit keine Patches für die meisten Linux-Distributionen verfügbar, was die Situation noch prekärer macht. Der Sicherheitsforscher Tomas Jakobs hat bereits Schutzmaßnahmen vorgeschlagen, um die Risiken zu minimieren. Die Deaktivierung der fehlerhaften „In-Place-Operation“ wird als eine der effektivsten Schutzmaßnahmen angesehen. Redhat hat zudem eine Liste betroffener Distributionen veröffentlicht, um Administrationsvertreter über die potenziellen Gefahren zu informieren.
In Multi-Tenant-Umgebungen und auf Container-Plattformen, wo der Page-Cache auf dem Host-System geteilt wird, kann diese Schwachstelle besonders verheerende Auswirkungen haben. Die Möglichkeit, den Authentifizierungsprozess zu umgehen und eine Root-Shell zu erhalten, kann gravierende Folgen für die Systemsicherheit haben.
Für interessierte Administratoren und IT-Sicherheitsexperten sind weitere Informationen zu dieser Schwachstelle in der NIST-Dokumentation verlinkt, die relevante Details zu CVE-2026-31431 bereitstellt. Die Zeit drängt, und es ist wichtig, die Sicherheit der Systeme so schnell wie möglich zu überprüfen und erforderliche Maßnahmen zu ergreifen.