Im Linux-Kernel haben IT-Forscher eine Schwachstelle entdeckt, die Angreifer zum Erlangen von root-Rechten missbrauchen k\u00f6nnen. Die Entdecker haben die Schwachstelle \u201eCopy Fail\u201c getauft. Eigentlich alle Linux-Distributionen, die seit 2017 verf\u00fcgbar sind, sollen davon betroffen sein.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
Das schreiben die IT-Forscher in einem Blog-Beitrag<\/a>, der Bericht ist ihnen jedoch sogar eine eigene Domain wert<\/a>. Die L\u00fccke haben sie offenbar mit dem KI-Werkzeug Xint Code aufgesp\u00fcrt. Es handelt sich um einen Logikfehler, der lokalen Nutzern im System erm\u00f6glicht, einen deterministischen, kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache jedes lesbaren Dateisystems eines Rechners auszuf\u00fchren. Mit einem Python-Skript von 732 Byte Gr\u00f6\u00dfe gelingt es den Forschern, eine Bin\u00e4rdatei mit setuid-Flag zu manipulieren und dadurch root-Rechte zu erlangen (CVE-2026-31431<\/a>, CVSS 7.8, Risiko \u201ehoch\u201c).<\/p>\n Die IT-Sicherheitsforscher f\u00fchren weiter aus, dass der Kernel die manipulierte Page nicht als \u201eDirty\u201c zum R\u00fcckschreiben aufs Laufwerk markiert, sodass die Datei unver\u00e4ndert bleibt und einfache Checksummen-Pr\u00fcfungen von der Manipulation nichts mitbekommen. Beim tats\u00e4chlichen Dateizugriff erfolgt jedoch der R\u00fcckgriff auf den Page-Cache. Damit lassen sich zudem Container-Grenzen sprengen, da der Page-Cache auf dem Host geteilt wird. Konkret k\u00fcndigen die IT-Forscher an, weitere Details zu ver\u00f6ffentlichen, die den Ausbruch aus Kubernetes-Containern er\u00f6rtern.<\/p>\n Fehler im Krypto-Subsystem<\/p>\n Der Fund sei zwar KI-unterst\u00fctzt gewesen, basierte aber auf Untersuchungen der Interaktion des Linux-Krypto-Subsystems mit Page-Cache-Daten. Interessierte finden sehr tiefgehende Details im Blog-Beitrag. Dort stellen die Programmierer auch einen Proof-of-Concept-Exploit vor. Das Python-Skript ist 732 Byte gro\u00df und verschafft lokalen Angreifern root-Rechte etwa unter Ubuntu 24.04 LTS mit Kernel 6.17.0-1007-aws, Amazon Linux 2023 mit Kernel 6.18.8-9.213.amzn2023, RHEL 10.1 und Kernel 6.12.0-124.45.1.el10_1 sowie SUSE 16 mit Kernel 6.12.0-160000.9-default. Zumindest haben die Entdecker der Schwachstelle diese Kombinationen erfolgreich getestet.<\/p>\n Einen Fix f\u00fcr den Kernel-Quellcode stellen die IT-Forscher ebenfalls bereit. Aktualisierte Kernel sollten inzwischen die gr\u00f6\u00dferen Distributionen bereitstellen. Als tempor\u00e4re Gegenma\u00dfnahme soll demnach aber helfen, AF_ALG-Socket-Erstellung \u00fcber seccomp zu blockieren oder aber als algif_aead-Modul in die Blacklist aufzunehmen, sodass der Kernel es nicht l\u00e4dt: echo „install algif_aead \/bin\/false“ > \/etc\/modprobe.d\/disable-algif-aead.conf rmmod algif_aead 2>\/dev\/null im Terminal erledigt das. <\/p>\n Es ist erst wenige Tage her, da hat die Telekom mittels KI die Schwachstelle \u201ePack2TheRoot\u201c im Linux-Kernel<\/a> aufgesp\u00fcrt. Auch hierbei handelt es sich um eine Rechteausweitungsl\u00fccke, die sich in mehreren Linux-Distributionen in den Standardkonfigurationen ausnutzen lie\u00df.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n