Eine neue Schwachstelle im Linux-Kernel sorgt für akuten Handlungsbedarf in IT-Abteilungen. Die als Copy Fail bekannte Lücke wird unter CVE-2026-31431 geführt und ermöglicht lokalen Angreifern unter bestimmten Voraussetzungen eine Rechteausweitung bis auf Root-Ebene. Laut heise online warnt die US-Cybersicherheitsbehörde CISA inzwischen vor aktiver Ausnutzung der Schwachstelle. Auch die NVD führt CVE-2026-31431 im CISA-Katalog bekannter, aktiv ausgenutzter Schwachstellen.
Was steckt hinter Copy Fail?
Die Schwachstelle betrifft das Linux-Kernel-Modul algif_aead, das Teil der Krypto-Schnittstelle des Kernels ist. Technisch handelt es sich um eine lokale Privilege-Escalation-Schwachstelle. Der von kernel.org gemeldete CVSS-Score liegt bei 7.8 HIGH.
Nach Angaben der Entdecker kann ein unprivilegierter lokaler Nutzer über die Kombination aus AF_ALG und splice()einen kontrollierten 4-Byte-Schreibzugriff in den Page Cache einer lesbaren Datei auslösen. In der veröffentlichten Demonstration genügt ein kleines Python-Skript, um eine Setuid-Binary so zu manipulieren, dass Root-Rechte erlangt werden können.
Warum Unternehmen jetzt handeln sollten
Für Unternehmen ist die Lücke besonders relevant, weil Linux-Systeme häufig in geschäftskritischen Bereichen eingesetzt werden: auf Servern, in Cloud-Umgebungen, bei Container-Plattformen, Kubernetes-Nodes und CI/CD-Runnern. CERT-EU empfiehlt ausdrücklich, Kubernetes-Nodes und CI/CD-Runner mit nicht vertrauenswürdigen Workloads zu priorisieren.
Canonical weist für Ubuntu darauf hin, dass die Schwachstelle auf Hosts ohne Container-Workloads eine lokale Rechteausweitung auf Root ermöglicht. In Container-Umgebungen könne sie außerdem Container-Escape-Szenarien begünstigen; ein entsprechender Proof of Concept für diesen Fall sei zum Zeitpunkt der Canonical-Veröffentlichung jedoch nicht publiziert gewesen.
Angriffscode ist öffentlich verfügbar
Die Dringlichkeit steigt, weil Proof-of-Concept-Code öffentlich verfügbar ist. heise berichtet von mehreren online verfügbaren Exploit-Varianten. Die NVD listet ebenfalls Exploit-Referenzen, darunter die Veröffentlichungen der Entdecker.
Ein zusätzlicher Risikofaktor: Die Manipulation findet im Page Cache statt. Nach Darstellung der Forscher wird die Datei auf dem Datenträger dabei nicht verändert. Klassische Integritätsprüfungen, die auf On-Disk-Checksummen basieren, können solche Veränderungen daher übersehen.
Updates und Mitigations prüfen
IT-Teams sollten jetzt prüfen, welche Linux-Systeme betroffen sind, welche Updates oder Mitigations die jeweiligen Distributionen bereitstellen und ob Systeme nach Aktualisierungen neu gestartet wurden. Canonical hat für betroffene Ubuntu-Versionen Mitigations über das Paket kmod bereitgestellt, die das betroffene Modul deaktivieren. Zugleich weist Canonical darauf hin, dass Anwendungen, die hardwarebeschleunigte Kryptofunktionen nutzen, im Einzelfall betroffen sein können.
CERT-EU empfiehlt als temporäre Maßnahme, das Modul algif_aead zu deaktivieren, bis ein gepatchter Kernel verfügbar ist. Zusätzlich empfiehlt CERT-EU für containerisierte Workloads und Pipelines, die Erstellung von AF_ALG-Sockets über Seccomp-Richtlinien zu blockieren.
Fazit
Copy Fail ist keine rein theoretische Kernel-Schwachstelle. Die Lücke ist öffentlich dokumentiert, Proof-of-Concept-Code ist verfügbar und CISA führt CVE-2026-31431 als aktiv ausgenutzt. Unternehmen sollten die Schwachstelle deshalb mit hoher Priorität behandeln – insbesondere auf Systemen, auf denen mehrere Nutzer, Container-Workloads oder automatisierte Build- und Deployment-Prozesse denselben Linux-Kernel nutzen.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.