Mimikatz-Warnung: Ein Linux-Copy-Fail-Sicherheitslücke ist äußerst leicht auszunutzen. Es wird empfohlen, den Kernel so schnell wie möglich zu aktualisieren.

Laut dem leitenden Informationssicherheitsbeauftragten (CISO) von SlowMist, 23pds, der am 30. April auf X gepostet hat, wurde in Systemen mit Linux ein logischer Schwachstellenfehler mit dem Namen „Copy Fail“ entdeckt (CVE-2026-31431), der sich sehr leicht ausnutzen lässt. SlowMist rät Nutzern, den Kernel schnellstmöglich zu aktualisieren.

Grundlegende Informationen zur Schwachstelle und betroffene Bereiche

Laut dem technischen Bericht vom 29. April des Xint-Code-Forschungsteams handelt es sich bei CVE-2026-31431 um einen logischen Fehler in der Linux-Kernelvorlage für Authenticated-Encryption-with-Associated-Data (AEAD) in der Datei algif_aead.c. Die Ausnutzung erfolgt über eine Kettenaufruf-Verkettung mit AF_ALG und der Funktion splice(), wodurch nicht privilegierte lokale Benutzer eine deterministische 4-Byte-kontrollierte Write-in-Operation auf Seiten-Cache eines beliebig lesbaren Dateiinhalts des Systems durchführen können. Anschließend kann durch das Zerstören von setuid-Binärdateien Root-Rechte erlangt werden.

Laut dem Xint-Code-Bericht wurden die betroffenen Distributionen und Kernelversionen wie folgt getestet und bestätigt:

Ubuntu 24.04 LTS: Kernel 6.17.0-1007-aws

Amazon Linux 2023: Kernel 6.18.8-9.213.amzn2023

RHEL 10.1: Kernel 6.12.0-124.45.1.el10_1

SUSE 16: Kernel 6.12.0-160000.9-default

Laut dem Xint-Code-Bericht liegt die grundlegende Ursache dieser Schwachstelle darin, dass 2017 eine In-Place-AEAD-Optimierung in algif_aead.c eingeführt wurde (Commit 72548b093ee3). Dadurch werden die Seiten-Cache-Seiten, die aus splice() stammen, in eine beschreibbare, disjunkten Liste gestellt. Zusammen mit temporären Write-Operationen des Authenticsn-AEAD-Encapsulators ergibt sich dadurch eine ausnutzbare Angriffsstrecke.

Zeitplan für koordinierte Offenlegung und Patch-Maßnahmen

Laut dem Zeitplan, den Xint Code am 29. April offengelegt hat, wurde CVE-2026-31431 am 23. März 2026 an das Linux-Kernel-Security-Team gemeldet. Der Patch (a664bf3d603d) wurde am 25. März zur Prüfung abgeschlossen, am 1. April in den Mainline-Kernel eingereicht, am 22. April erfolgte die offizielle Zuweisung der CVE, und am 29. April wurde die Schwachstelle öffentlich offengelegt.

Laut dem Xint-Code-Bericht umfassen die Patch-Maßnahmen: das Aktualisieren der Kernel-Softwarepakete der Distributionen (bei gängigen Distributionen sollte dieser Patch über normale Kernel-Updates veröffentlicht werden). Falls eine sofortige Minderung erforderlich ist, kann AF_ALG durch seccomp vom Erstellen von Sockets blockiert werden. Alternativ kann man das folgende Kommando ausführen, um das algif_aead-Modul auf die Blacklist zu setzen: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf.

Laut dem Xint-Code-Bericht betrifft die Schwachstelle außerdem Szenarien über Container-Grenzen hinweg, da der Seiten-Cache vom Host gemeinsam genutzt wird; relevante Auswirkungen auf Kubernetes-Container-Escapes werden im zweiten Teil offengelegt.

Häufige Fragen

Wie groß ist der Einflussbereich von CVE-2026-31431?

Laut dem Xint-Code-Bericht vom 29. April und der Warnung von SlowMist 23pds vom 30. April betrifft CVE-2026-31431 nahezu alle gängigen Linux-Distributionen, die seit 2017 veröffentlicht wurden, darunter Ubuntu, Amazon Linux, RHEL und SUSE. Ein 732-Byte-Python-Skript kann ohne spezielle Rechte Root-Rechte erlangen.

Wie sieht die temporäre Minderung dieser Schwachstelle aus?

Laut dem Xint-Code-Bericht kann sie durch Blockieren der Erstellung von AF_ALG-Sockets über seccomp erfolgen. Alternativ kann man zur sofortigen Minderung algif_aead auf die Blacklist setzen, indem man echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf ausführt.

Wann wurde der Patch für CVE-2026-31431 veröffentlicht?

Laut dem Zeitplan, den Xint Code am 29. April offengelegt hat, wurde der Patch (a664bf3d603d) am 1. April 2026 in den Linux-Mainline-Kernel eingereicht. Gängige Distributionen sollten diesen Patch über normale Kernel-Softwarepaket-Updates veröffentlichen.