Forschungsteams von Xint.io und Theori haben eine kritische Schwachstelle im Linux-Kernel offengelegt, die unter dem Namen Copy Fail und der Kennung CVE-2026-31431 gefuehrt wird. Die Luecke ermoeglicht einem lokalen, nicht privilegierten Nutzer, sich auf vielen aktuellen Linux-Systemen bis zu Root-Rechten hochzustufen. Mit einem CVSS-Score von 7,8 zaehlt die Sicherheitsluecke zur Kategorie High Severity und betrifft aufgrund ihres Alters einen grossen Teil der im Einsatz befindlichen Kernel-Versionen.
Was hinter der Linux-Sicherheitsluecke Copy Fail steckt
Copy Fail gehoert zur Klasse der Local-Privilege-Escalation-(LPE)-Schwachstellen. Laut den veroeffentlichten Analysen kann ein lokaler Benutzer vier beliebig kontrollierte Bytes in den Page Cache eines beliebigen, nur lesbar geoeffneten Files schreiben. Dadurch laesst sich das effektive Dateiinhaltsbild fuer alle Prozesse manipulieren, die diesen Cache nutzen – ein maechtiger Angriffsvektor, wenn es sich um sicherheitskritische Binaries handelt.
Ursache ist eine logische Fehldesign-Entscheidung in der kryptographischen Subsystem des Linux-Kernels, genauer im Modul algif_aead, das AEAD-Algorithmen ueber die Socket-Schnittstelle AF_ALG bereitstellt. Der fehlerhafte Code wurde bereits im August 2017 in den Kernel integriert. Damit sind praktisch alle gaengigen Distributionen betroffen, die Kernel-Staende seit 2017 einsetzen, darunter Amazon Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, Ubuntu und zahlreiche Derivate.
Technischer Hintergrund: Page Cache, AF_ALG und der Schreib-Primitive
Page Cache als gemeinsamer Angriffspunkt
Der Page Cache ist ein Kernel-internes Caching-System, das haeufig genutzte Dateiseiten im Arbeitsspeicher vorhaelt. Alle Prozesse eines Systems greifen gemeinsam auf diesen Cache zu. Gelingt es einem Angreifer, eine im Cache liegende Seite zu modifizieren, veraendert er damit faktisch den Inhalt der zugrunde liegenden Datei fuer alle Leser – auch wenn diese die Datei nur mit Leserechten geoeffnet haben.
Missbrauch der AF_ALG-Schnittstelle
Im Fall von Copy Fail fuehrt eine Optimierung im Modul algif_aead dazu, dass eine Seite aus dem Page Cache in eine schreibbare Zielstruktur (Scatterlist) fuer eine AEAD-Operation uebernommen werden kann. Ein nicht privilegierter Prozess kann ueber einen AF_ALG-Socket eine solche Operation anstossen und danach den Systemaufruf splice() nutzen, um gezielt wenige Bytes in den Page Cache einer fremden Datei zu schreiben.
Damit entsteht ein aeusserst wirkmaechtiger Exploit-Primitive: Bereits das Ueberschreiben weniger Bytes in einem setuid-Root-Binary (z. B. einer Hilfsanwendung, die mit Root-Rechten laeuft) reicht aus, um Code mit maximalen Rechten auszufuehren. Laut den Forschern laesst sich ein funktionsfaehiger Exploit als kurzes Python-Skript von rund 700 Bytes umsetzen. Die Ausnutzung erfordert weder komplexe Race Conditions noch Kernel-Adress-Leaks und funktioniert weitgehend distributionsuebergreifend.
Betroffene Distributionen und Risiken in Container-Umgebungen
Da der fehlerhafte Code seit 2017 im Upstream-Kernel vorhanden ist, sind nahezu alle verbreiteten Linux-Distributionen in den letzten Jahren potenziell verwundbar. Linux bildet die Grundlage des Grossteils der Server- und Cloud-Infrastrukturen; verschiedene Marktanalysen gehen davon aus, dass ein erheblicher Anteil der im Internet erreichbaren Server und der Container-Workloads auf Linux basiert. Eine LPE-Schwachstelle im Kernel hat damit unmittelbare Relevanz fuer Unternehmens-IT, Hosting-Umgebungen und Cloud-Plattformen.
Copy Fail ist keine Remote-Exploitschwachstelle: Der Angreifer benoetigt zunaechst lokalen Zugriff – etwa ueber ein kompromittiertes Benutzerkonto, eine Schwachstelle in einem Webdienst oder schwache Zugangsdaten. Ist dieser erste Schritt gelungen, erlaubt der Exploit jedoch einen sehr schnellen und zuverlässigen Sprung von Standardrechten auf Root-Niveau.
Besonders kritisch sind die kross-containeralen Auswirkungen. Der Page Cache des Kernels wird zwischen Host und allen Containern geteilt. Ein Prozess in einem scheinbar stark isolierten Container kann so Binaries ausserhalb seines Containers beeinflussen und sich auf dem Host selbst Root-Rechte verschaffen. Damit unterlaeuft die Schwachstelle gaengige Sandboxing-Mechanismen und Namespaces und ermoeglicht Container-Escape-Angriffe.
Vergleich mit Dirty Pipe und sicherheitstechnische Einordnung
Copy Fail weist deutliche Aehnlichkeiten zur bekannten Schwachstelle Dirty Pipe (CVE-2022-0847) auf. Beide ermoeglichen das Schreiben in den Page Cache von nur lesbar geoeffneten Dateien und damit die Manipulation sicherheitsrelevanter Datenstrukturen. Der entscheidende Unterschied liegt im betroffenen Subsystem: Dirty Pipe nutzte Fehler im Pipe-Handling, waehrend Copy Fail auf Fehldesigns in der Kryptographie-Schnittstelle AF_ALG beruht.
Aus Sicht der Angriffspraxis ist Copy Fail besonders besorgniserregend, weil die Ausnutzung zuverlaessig, schnell und kaum spurenreich erfolgen kann. Aehnliche Kernel-LPEs wie Dirty COW oder Dirty Pipe wurden in der Vergangenheit nachweislich in realen Angriffsketten eingesetzt, unter anderem fuer Rooting-Tools, Container-Escapes und zum Umgehen von Endpoint-Schutzloesungen. Es ist daher realistisch anzunehmen, dass auch Copy Fail nach der Veroeffentlichung zeitnah in Exploit-Kits und Angriffswerkzeuge einfliessen kann.
Empfohlene Gegenmassnahmen fuer Unternehmen und Administratoren
Nach der Offenlegung von CVE-2026-31431 stellen die grossen Linux-Distributoren sukzessive aktualisierte Kernel-Pakete und Security-Advisories bereit. Organisationen sollten zeitnah reagieren und mindestens folgende Schritte einplanen:
- Schnelles Patch-Management: Installation der neuesten Kernel-Updates aus den offiziellen Repositories (RHEL, Ubuntu, SUSE, Amazon Linux u. a.) auf allen betroffenen Systemen, inklusive Test- und Staging-Umgebungen.
- Einschraenkung lokalen Zugriffs: Hartere Zugriffskontrollen, Multi-Faktor-Authentifizierung, staerkere Passwortrichtlinien sowie die Minimierung direkter Shell-Zugaenge auf Servern.
- Inventur von setuid-Binaries: Systemweite Uebersicht aller setuid-Programme, Entfernung oder Deaktivierung nicht zwingend benoetigter Binaries und Einsatz von Mechanismen wie file integrity monitoring.
- Härtung von Container-Umgebungen: Einsatz von Rootless-Containern, strengen seccomp-Profilen, SELinux/AppArmor-Policies und regelmaessige Aktualisierung der Host-Kernel in Kubernetes-, Docker- oder OpenShift-Clustern.
- AF_ALG einschränken, wo moeglich: In Umgebungen, die
AF_ALGnicht benoetigen, kann das Abschalten oder Blacklisten des entsprechenden Moduls als temporaere Zusatzmassnahme geprueft werden.
Copy Fail verdeutlicht, wie bereits eine einzelne logische Schwachstelle in einem spezialisierten Kernel-Modul zu weitreichenden Konsequenzen fuehren kann – vom Root-Exploit auf Einzelservern bis hin zum Container-Escape in komplexen Cloud-Umgebungen. Unternehmen sollten Kernel-Luecken dieser Art grundsaetzlich als hoch priorisierte Risiken behandeln, Patches zeitnah einspielen, das Prinzip der minimalen Rechte konsequent umsetzen und ihre Linux-Sicherheitsarchitektur regelmaessig gegen neue Angriffsformen ueberpruefen. Wer seine Systeme proaktiv haertet, Security-Advisories der Hersteller beobachtet und strukturierte Schwachstellen-Management-Prozesse etabliert, senkt die Erfolgschancen von Angriffen, die auf Copy Fail und aehnliche Kernel-Exploits setzen, deutlich.
