Sicherheitsforscher von Theori haben eine Schwachstelle im Linux-Kernel veröffentlicht, die seit 2017 in praktisch allen gängigen Distributionen schlummert. Der Fehler steckt im Zusammenspiel dreier Kernel-Komponenten: dem Krypto-Socket AF_ALG, dem Systemaufruf splice() und dem AEAD-Template authencesn. Ein nicht privilegierter lokaler Nutzer kann damit gezielt 4 Bytes in den In-Memory-Cache eines beliebigen lesbaren setuid-Binaries schreiben – ohne die Datei auf der Festplatte zu verändern. Standard-Integritätsprüfungen wie checksummen-basiertes File-Monitoring schlagen deshalb nicht an. Ein 732-Byte-Python-Skript reicht, um auf Ubuntu, Amazon Linux, RHEL und SUSE Root zu erlangen. Ein PoC ist öffentlich verfügbar.
Bin ich betroffen? Alle Linux-Systeme ab Kernel 4.9 (seit 2017) mit aktivem algif_aead-Modul sind potenziell verwundbar. Der Angriff setzt lokalen, nicht privilegierten Zugang voraus – also einen Shell-Account oder eine laufende Anwendung auf dem System. Besonders kritisch ist er für Multi-Tenant-Umgebungen und Kubernetes-Cluster, da der Page-Cache über Container-Grenzen hinweg geteilt wird.
Empfehlung: Kernel-Update sofort einspielen – der Fix ist in Mainline verfügbar und sollte zeitnah durch Distributions-Updates ausgerollt werden. Als Sofortmaßnahme lässt sich das betroffene Modul deaktivieren:
echo „install algif_aead /bin/false“ > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null
Das deaktiviert AF_ALG AEAD systemweit. Wer IPsec mit Extended Sequence Numbers betreibt, sollte prüfen, ob die eigene Konfiguration davon abhängt. Für Kubernetes-Umgebungen folgt ein separater Teil der Disclosure, der den Container-Escape-Vektor behandelt.
Gefunden von Taeyang Lee (Theori) mit KI-Unterstützung durch Xint Code · Veröffentlicht: 29. April 2026 · Quellen: CVE-2026-31431 · Originalartikel (Xint Code)
