{"id":144000,"date":"2026-05-06T21:00:20","date_gmt":"2026-05-06T21:00:20","guid":{"rendered":"https:\/\/www.europesays.com\/at\/144000\/"},"modified":"2026-05-06T21:00:20","modified_gmt":"2026-05-06T21:00:20","slug":"linux-732-bytes-programmcode-reichen-fuer-root-rechte","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/at\/144000\/","title":{"rendered":"Linux: 732 Bytes Programmcode reichen f\u00fcr Root-Rechte"},"content":{"rendered":"

Eine Sicherheitsl\u00fccke im Linux-Kernel hebelt die Rechteverwaltung auf Millionen von Servern aus. Betroffen sind alle gro\u00dfen Distributionen seit 2017.<\/p>\n

Cybersecurity-Forscher von Xint.io und Theori haben Details zu einer neuen, hochgef\u00e4hrlichen Sicherheitsl\u00fccke im Linux-Kernel ver\u00f6ffentlicht. Die Schwachstelle mit der Kennung CVE-2026-31431 und dem Codenamen Copy Fail erm\u00f6glicht es einem lokalen Nutzer ohne jegliche Privilegien, innerhalb von Sekunden volle Root-Rechte zu erlangen. Die L\u00fccke ist portabel, extrem klein und betrifft nahezu jede bedeutende Linux-Distribution, die seit August 2017 ausgeliefert wurde.<\/p>\n

Ein Fehler im Krypto-Subsystem<\/p>\n

Der Ursprung von Copy Fail liegt tief im kryptografischen Subsystem des Kernels, genauer gesagt im Modul algif_aead. Im Jahr 2017 wurde eine Performance-Optimierung eingef\u00fchrt, die sogenannte \u201eIn-Place\u201c-Operationen f\u00fcr die Authenticated Encryption with Associated Data (AEAD) erm\u00f6glichte. Das Ziel war l\u00f6blich: Speicherplatz sparen, indem Eingabe- und Ausgabedaten denselben Puffer verwenden.<\/p>\n

Doch genau hier unterlief den Entwicklern ein logischer Fehler. Die Forscher fanden heraus, dass man durch eine geschickte Kombination von sendmsg() und os.splice() den Kernel dazu bringen kann, vier kontrollierte Bytes in den Page-Cache einer beliebigen, lesbaren Datei zu schreiben. Da der Page-Cache die Kopie einer Datei im Arbeitsspeicher verwaltet, wird die Datei f\u00fcr das laufende System manipuliert, ohne dass die Version auf der Festplatte ver\u00e4ndert werden muss. Das bedeutet: Sicherheitsmechanismen, die nur die Datei auf der Disk pr\u00fcfen, schlagen nicht an.<\/p>\n

Der 732-Byte-Exploit: In vier Schritten zum Admin<\/p>\n

Die Forscher demonstrierten die Schwere der L\u00fccke mit einem nur 732 Byte gro\u00dfen Python-Skript<\/a>. Es ben\u00f6tigt keine komplexen \u201eRace Conditions\u201c oder unsicheren Speicher-Offsets, die bei vielen anderen Exploits oft zu Systemabst\u00fcrzen f\u00fchren. Copy Fail ist deterministisch und erschreckend zuverl\u00e4ssig. Der Angriff erfolgt in vier Schritten:<\/p>\n

Socket-Setup: Ein nicht privilegierter Prozess \u00f6ffnet einen AF_ALG-Socket (standardm\u00e4\u00dfig f\u00fcr alle Nutzer verf\u00fcgbar).<\/p>\n

Payload-Konstruktion: Das Skript bereitet eine winzige Shellcode-Payload vor.<\/p>\n

Page-Cache-Manipulation: \u00dcber den Logikfehler im Krypto-Modul werden gezielt vier Bytes in die im Speicher geladene Kopie von \/usr\/bin\/su oder \/etc\/passwd geschrieben.<\/p>\n

Ausf\u00fchrung: Sobald das System das manipulierte Programm ausf\u00fchrt, wird der injizierte Code mit Root-Rechten gestartet.<\/p>\n

\"Newsletter\"\"Newsletter\"Cross-Container-Impact: Warum die Cloud besonders gef\u00e4hrdet ist<\/p>\n

Ein kritischer Aspekt von Copy Fail ist die Tatsache, dass der Page-Cache systemweit geteilt wird. Das bedeutet, dass die Sicherheitsl\u00fccke auch Container-Grenzen durchbricht. Ein Angreifer, der Zugriff auf einen unprivilegierten Container in einer Kubernetes-Umgebung hat, kann den Page-Cache des Host-Kernels korrumpieren. Damit sind potenziell alle anderen Mandanten (Tenants) auf demselben physischen Host gef\u00e4hrdet.<\/p>\n

Sicherheitsexperten warnen, dass dies das g\u00e4ngige Sicherheitsmodell von \u201eShared-Kernel Multi-Tenancy\u201c unter Druck setzt. Wer keine MicroVMs (wie Firecracker) oder dedizierte Hosts nutzt, muss Copy Fail als unmittelbare Bedrohung f\u00fcr seine Cloud-Infrastruktur betrachten.<\/p>\n

Ein Echo von Dirty Pipe<\/p>\n

Copy Fail erinnert technisch stark an die ber\u00fchmte \u201eDirty Pipe\u201c-L\u00fccke (CVE-2022-0847). Beide nutzen Schw\u00e4chen im Umgang mit dem Page-Cache aus. Dass Copy Fail fast neun Jahre unentdeckt blieb, liegt vermutlich daran, dass der Krypto-Code im Kernel zwar intensiv auf mathematische Korrektheit gepr\u00fcft wird, die zugrunde liegende Speicherverwaltung jedoch oft weniger im Fokus der Reviewer steht. Interessanterweise wurde die L\u00fccke laut Berichten von einer KI-gest\u00fctzten Security-Plattform innerhalb von nur einer Stunde Scan-Zeit identifiziert. Das ist ein deutliches Zeichen daf\u00fcr, wie sich die Tools zur Schwachstellensuche ver\u00e4ndern.<\/p>\n

Ubuntu, Red Hat und Amazon Linux betroffen<\/p>\n

Die gro\u00dfen Distributoren haben bereits mit Sicherheitsmitteilungen reagiert. Da die Schwachstelle im Mainline-Kernel seit 2017 existiert, ist die Liste der betroffenen Systeme lang:<\/p>\n

DistributionStatus am 30. April 2026Empfohlene Ma\u00dfnahmeUbuntuPatch verf\u00fcgbar (LTS & Stable)Kernel-Update & RebootRed Hat (RHEL)Advisory ver\u00f6ffentlichtUpdate auf aktuellste Kernel-VersionAmazon LinuxPatches in AL2023 integriertSofortiges Update einspielenSUSE \/ openSUSESicherheitsupdate verf\u00fcgbarzypper patch ausf\u00fchrenDebianFix in Stable\/Unstableapt-get upgrade<\/p>\n

Was Administratoren jetzt tun m\u00fcssen<\/p>\n

Sollten Sie Ihre Systeme nicht sofort patchen k\u00f6nnen, gibt es eine effektive \u00dcbergangsl\u00f6sung: Das Deaktivieren des betroffenen Kernel-Moduls. Da algif_aead auf den meisten Standard-Servern nicht zwingend f\u00fcr den Betrieb ben\u00f6tigt wird, kann es gefahrlos geblacklistet werden:<\/p>\n

Pr\u00fcfen: lsmod | grep algif_aead<\/p>\n

Deaktivieren: echo „blacklist algif_aead“ > \/etc\/modprobe.d\/copy-fail-mitigation.conf<\/p>\n

Entladen: rmmod algif_aead (falls nicht in Benutzung)<\/p>\n

Angesichts der Einfachheit, mit der diese L\u00fccke ausgenutzt werden kann, ist ein Aufschieben der Sicherheitsma\u00dfnahmen grob fahrl\u00e4ssig. Ein 732-Byte-Skript ist alles, was zwischen einem Hacker und Ihrem gesamten Netzwerk steht.<\/p>\n","protected":false},"excerpt":{"rendered":"Eine Sicherheitsl\u00fccke im Linux-Kernel hebelt die Rechteverwaltung auf Millionen von Servern aus. Betroffen sind alle gro\u00dfen Distributionen seit…\n","protected":false},"author":2,"featured_media":144001,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[46,42,44,97,96,101,98,100,99],"class_list":{"0":"post-144000","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-at","9":"tag-austria","10":"tag-oesterreich","11":"tag-science","12":"tag-science-technology","13":"tag-technik","14":"tag-technology","15":"tag-wissenschaft","16":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@at\/116529648814987544","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/144000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/comments?post=144000"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/144000\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media\/144001"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media?parent=144000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/categories?post=144000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/tags?post=144000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}