Was ist passiert?
CVE-2026-31431, bekannt als "Copy Fail", betrifft das algif_aead-Interface des Linux-Kernels. Die Schwachstelle existiert seit 2017 und resultiert aus einer fehlerhaften Speicheroptimierung bei "In-place"-Operationen. Ein Angreifer kann durch gezielte Krypto-Anfragen an den Kernel genau 4 Bytes im Page Cache überschreiben.Obwohl 4 Bytes nach wenig klingen, reicht dies aus, um bei setuid-Binärdateien (wie sudo oder polkit) Sicherheitsprüfungen im RAM zu umgehen. Der Angreifer erlangt so administrative Rechte, ohne ein Passwort zu kennen oder komplexe Memory-Corruption-Techniken anwenden zu müssen.
Wen betrifft es?
Nahezu alle KMU, die Linux-basierte Systeme einsetzen:- ▸Server-Infrastruktur: Ubuntu (ab 18.04), RHEL, Debian und SUSE.
- ▸Cloud & Container: Kubernetes-Knoten sind besonders gefährdet, da die Lücke einen stabilen Ausbruch aus Containern auf den Host-Level (Container Escape) ermöglicht.
- ▸Embedded/NAS: Viele Speicherlösungen nutzen betroffene Kernel-Versionen.
Was ist zu tun?
- 1.Kernel-Patch einspielen: Installiere die neuesten Sicherheitsupdates deiner Distribution (Kernel-Fix vom April 2026).
- 2.Reboot erzwingen: Da der Fehler direkt im Kernel-Code liegt, ist ein Neustart des Systems zwingend erforderlich, um den Patch zu aktivieren.
- 3.Audit der Nutzerrechte: Überprüfe, welche lokalen Nutzer Zugriff auf die Systeme haben; die Lücke benötigt einen initialen (wenn auch unprivilegierten) Zugang.
- 4.Live-Patching nutzen: In kritischen Umgebungen (z. B. via Canonical Livepatch oder Red Hat Kpatch) den Fix ohne Downtime einspielen, falls möglich.
Diese Advisories dienen der Information. Für eine detaillierte Analyse Ihrer Linux-Härtungsstrategie kontaktieren Sie uns.