TI - CVE‑2026‑31431 - Critical Flaw in Linux Kernel Cryptography (Copy Fail)

Beschreibung:

Die Sicherheitsforschungsgruppe Xint Research veröffentlichte am 29.04.2026 Details zu einer kritischen Schwachstelle im Linux‑Kernel, welche unter der Bezeichnung „Copy Fail“ veröffentlicht wurde. Die Schwachstelle wird unter der Kennung CVE‑2026‑31431 geführt und ermöglicht es lokalen, nicht privilegierten Benutzer:innen, durch einen Logikfehler im Linux‑Kernel Root‑Rechte zu erlangen. Ursache ist ein fehlerhaftes Zusammenspiel der Kernel‑Komponenten AF_ALG (Crypto API), splice() und dem AEAD‑Template authencesn, wodurch ein kontrollierter Schreibzugriff in den Page Cache beliebiger lesbarer Dateien möglich ist. Dadurch können unter anderem Setuid‑Root‑Binaries im Speicher manipuliert und anschließend mit Root‑Rechten ausgeführt werden. Besonders kritisch ist, dass die Manipulation ausschließlich im Page Cache erfolgt und nicht auf die Festplatte geschrieben wird, wodurch klassische File‑Integrity‑Prüfungen diese Manipulation nicht erkennen. Zusätzlich eignet sich die Schwachstelle als Container‑Escape‑Primitive, da der Linux Page Cache systemweit geteilt wird.

Betroffene Systeme:

• Linux‑Systeme mit Kernel‑Versionen ab ca. 2017
  • Nahezu alle gängigen Distributionen, u. a.:
    • Ubuntu
    • Red Hat Enterprise Linux (RHEL)
    • SUSE Linux Enterprise
    • Amazon Linux
• Besonders betroffen:
  • Server mit lokalen Benutzerkonten
  • Container‑Hosts
  • Kubernetes‑Nodes
  • Multi‑Tenant‑Umgebungen

Behobene Versionen:

Empfohlene Maßnahmen:

Es wird dringend empfohlen, die Kernel‑Updates der jeweiligen Linux‑Distribution schnellstmöglich einzuspielen. Falls ein sofortiges Patchen nicht möglich ist, werden folgende temporäre Maßnahmen empfohlen:

• Deaktivierung des Kernel‑Moduls algif_aead
• Einschränkung der Nutzung von AF_ALG‑Sockets mittels seccomp
• Reduktion lokaler Benutzer auf produktiven Systemen
• Erhöhte Überwachung von Root‑Logins und privilegierten Prozessen  
  
  

Einschätzung der Bedrohung:

Zum Zeitpunkt der Veröffentlichung ist die Schwachstelle öffentlich dokumentiert und die technische Analyse frei verfügbar. Ein lauffähiger Proof‑of‑Concept wurde veröffentlicht, welcher ohne Race‑Conditions oder spezielle Systemkonfigurationen zuverlässig funktioniert. Aufgrund: der einfachen Ausnutzbarkeit, der hohen Verbreitung betroffener Systeme, der fehlenden On‑Disk‑Artefakte sowie der Möglichkeit eines Container‑Escapes ist von einer sehr hohen Attraktivität für Angreifer:innen auszugehen. Bislang liegen keine bestätigten Informationen über eine aktive Massen‑Ausnutzung vor, eine zeitnahe Integration in reale Angriffsszenarien ist jedoch realistisch.

Weiterführende Links:

https://copy.fail/
https://xint.io/blog/copy-fail-linux-distributions
https://www.cve.org/CVERecord?id=CVE-2026-31431