„Copy Fail" – 732 Bytes reichen für Root auf jedem Linux-Server

Sicherheitsforscher von Theori haben eine Schwachstelle im Linux-Kernel veröffentlicht, die seit 2017 in praktisch allen gängigen Distributionen schlummert. Der Fehler steckt im Zusammenspiel dreier Kernel-Komponenten: dem Krypto-Socket AF_ALG, dem Systemaufruf splice() und dem AEAD-Template authencesn. Ein nicht privilegierter lokaler Nutzer kann damit gezielt 4 Bytes in den In-Memory-Cache eines beliebigen lesbaren setuid-Binaries schreiben – ohne die Datei auf der Festplatte zu verändern. Standard-Integritätsprüfungen wie checksummen-basiertes File-Monitoring schlagen deshalb nicht an. Ein 732-Byte-Python-Skript reicht, um auf Ubuntu, Amazon Linux, RHEL und SUSE Root zu erlangen. Ein PoC ist öffentlich verfügbar.

Bin ich betroffen? Alle Linux-Systeme ab Kernel 4.9 (seit 2017) mit aktivem algif_aead-Modul sind potenziell verwundbar. Der Angriff setzt lokalen, nicht privilegierten Zugang voraus – also einen Shell-Account oder eine laufende Anwendung auf dem System. Besonders kritisch ist er für Multi-Tenant-Umgebungen und Kubernetes-Cluster, da der Page-Cache über Container-Grenzen hinweg geteilt wird.

Empfehlung: Kernel-Update sofort einspielen – der Fix ist in Mainline verfügbar und sollte zeitnah durch Distributions-Updates ausgerollt werden. Als Sofortmaßnahme lässt sich das betroffene Modul deaktivieren:

echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null

Das deaktiviert AF_ALG AEAD systemweit. Wer IPsec mit Extended Sequence Numbers betreibt, sollte prüfen, ob die eigene Konfiguration davon abhängt. Für Kubernetes-Umgebungen folgt ein separater Teil der Disclosure, der den Container-Escape-Vektor behandelt.

Gefunden von Taeyang Lee (Theori) mit KI-Unterstützung durch Xint Code · Veröffentlicht: 29. April 2026 · Quellen: CVE-2026-31431 · Originalartikel (Xint Code)

Related Posts

Cyberangriff auf Europa.eu – Kommission bestätigt Datendiebstahl

Am 24. März 2026 entdeckte die Europäische Kommission einen Angriff auf die Cloud-Infrastruktur, auf der die öffentlichen Websites unter europa.eu betrieben werden. Drei Tage später, am 27. März, informierte sie die Öffentlichkeit. Erste Untersuchungsergebnisse bestätigen, dass Daten von diesen Webseiten gestohlen wurden. Die internen Systeme der Kommission seien laut eigenen Angaben nicht betroffen gewesen, und die Verfügbarkeit der Websites wurde nicht unterbrochen. Betroffene EU-Einrichtungen werden derzeit direkt benachrichtigt.

Read More

Kritische Sicherheitslücke in GitHub: Codeausführung per git push (CVE-2026-3854)

Wiz Research hat Ende März eine schwerwiegende Schwachstelle in der internen Git-Infrastruktur von GitHub entdeckt und verantwortungsvoll gemeldet. Die Lücke erlaubte es jedem angemeldeten Nutzer, mit einem einzigen git push-Befehl beliebigen Code auf GitHubs Backend-Servern auszuführen – ohne spezielle Werkzeuge, nur mit einem normalen Git-Client.

Read More

Apache HTTP Server: HTTP/2-Lücke ermöglicht Remote Code Execution

In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total" stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.

Read More