Mastodon Mastodon Mastodon Mastodon

Linux-Kernel-Schwachstelle CVE-2026-46331 ermöglicht lokale Root-Rechte

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Die Schwachstelle CVE-2026-46331 in der Traffic-Control-Subsystem des Linux-Kernels ermöglicht es einem lokalen, nicht privilegierten Benutzer, auf betroffenen Systemen Root-Rechte zu erlangen. Ein Schreibfehler außerhalb des Puffers in der Komponente act_pedit führt zu einer Beschädigung des Seitencaches, und ein öffentlich verfügbarer, funktionierender Exploit ist innerhalb von 24 Stunden nach der Vergabe der CVE am 16. Juni 2026 erschienen. Red Hat stuft die Schwachstelle als Important ein. Betroffen sind RHEL 8, 9, 10, Ubuntu von 18.04 bis 26.04 sowie Debian 11–13. Administratoren von Mehrbenutzersystemen, Kubernetes-Nodes und CI/CD-Servern sollten den aktualisierten Kernel umgehend installieren oder Workarounds anwenden.

Mechanismus der Schwachstelle

Das Tool tc unter Linux ermöglicht es, Paket-Header „on the fly“ über die Aktion pedit zu verändern. Die Kernel-Funktion tcf_pedit_act() soll nach Angaben der Forscher vor der Bearbeitung eine private Kopie der Daten anlegen – ein klassisches Copy-on-Write-Muster. Allerdings erfolgt die Prüfung des zulässigen Schreibbereichs, bevor die finalen Offsets bekannt sind: Ein Teil der Editier-Schlüssel löst seine Offsets erst zur Laufzeit auf. Wenn das endgültige Offset außerhalb des privat kopierten Bereichs liegt, landet der Schreibzugriff in einer gemeinsam genutzten Seite des Seitencaches statt in der privaten Kopie.

Gehört diese Seite zu einer gecachten Datei, wird deren Abbild im Speicher beschädigt. Der Exploit nutzt dies Berichten zufolge, um die gecachte Kopie einer Binärdatei mit gesetztem setuid-root-Bit (z. B. /bin/su) zu vergiften: Er injiziert eine kleine Payload und startet das modifizierte Abbild mit Root-Rechten. Die Datei auf dem Datenträger bleibt dabei unverändert, sodass Integritätsprüfungen des Dateisystems keine Änderungen erkennen.

Diese Fehlerklasse ist gut bekannt: Dirty Pipe, DirtyClone, Dirty Frag – sie alle nutzen Situationen aus, in denen der Kernel Daten in eine Seite schreibt, die er nicht exklusiv besitzt. Der Unterschied bei CVE-2026-46331 liegt im Einstiegspunkt: Ein nicht privilegierter Benutzer kann tc-Aktionen aus einem User Namespace heraus konfigurieren und erhält darin lokale CAP_NET_ADMIN-Rechte.

Voraussetzungen für eine Ausnutzung

Die Exploit-Kette setzt das gleichzeitige Vorliegen von zwei Bedingungen voraus:

  • Das Modul act_pedit muss zum Laden in den Kernel verfügbar sein.
  • Nicht privilegierte User Namespaces müssen erlaubt sein, damit der Angreifer CAP_NET_ADMIN innerhalb des Namespaces erlangen kann.

Nach Angaben des Exploit-Autors waren beide Bedingungen standardmäßig auf RHEL 10 und Debian 13 (trixie) erfüllt. Unter Ubuntu 24.04 erforderte die Ausnutzung vermutlich einen Weg über AppArmor-Profile, die User Namespaces zulassen. Ubuntu 26.04 blockiert diesen Pfad standardmäßig über AppArmor-Einschränkungen, auch wenn der Kernel selbst verwundbar bleibt.

Betroffene Systeme und Patch-Status

Einschätzung der Auswirkungen

Am höchsten gefährdet sind Systeme, auf denen „lokaler Benutzer“ nicht gleichbedeutend mit „vertrauenswürdig“ ist: Mehrbenutzerserver, Kubernetes-Nodes, Worker in CI/CD-Pipelines, Build-Server und gemeinsam genutzte Forschungsrechner. Der Angriff hinterlässt keine Spuren auf dem Datenträger – gängige Werkzeuge zur Dateiintegritätsprüfung (AIDE, Tripwire, rpm -V) registrieren die Kompromittierung nicht, obwohl bereits eine Root-Shell geöffnet ist.

Ein weiterer Risikofaktor ist der Offenlegungsverlauf. Der Fix wurde Ende Mai 2026 in der netdev-Mailingliste veröffentlicht und wurde Berichten zufolge als gewöhnlicher Patch zur Behebung einer Datenbeschädigung eingereicht – ohne CVE und ohne Sicherheitshinweis. Die CVE wurde erst bei der Integration des Fixes am 16. Juni vergeben, und innerhalb von 24 Stunden erschien ein funktionierender Exploit. Für Schwachstellen der Klasse Seitencache-Korruption ist das Warten auf signaturbasierte Scanner-Regeln eine inakzeptabel langsame Strategie.

Empfehlungen zur Reaktion

Vorrangige Maßnahme: Installieren Sie einen aktualisierten Kernel und führen Sie einen Neustart durch. Wenn ein sofortiges Update nicht möglich ist, durchbricht jede der beiden folgenden Workarounds die Exploit-Kette:

Blockieren des Moduls act_pedit

Auf Systemen, die keine pedit-Regeln in tc verwenden, prüfen Sie, ob das Modul geladen ist (lsmod | grep act_pedit), und sperren Sie es:

echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf

Deaktivierung unprivilegierter User Namespaces

Unter RHEL: user.max_user_namespaces=0. Unter Debian/Ubuntu: kernel.unprivileged_userns_clone=0. Diese Maßnahme nimmt die Möglichkeit, CAP_NET_ADMIN zu erlangen, die der Exploit benötigt, stört aber den Betrieb von Root-losen Containern, einigen CI-Sandboxes und Browser-Sandboxes. Testen Sie dies unbedingt, bevor Sie es in produktiven Umgebungen einsetzen.

Bei Verdacht auf Kompromittierung

Das Leeren des Seitencaches (echo 3 > /proc/sys/vm/drop_caches) entfernt die vergiftete Kopie aus dem Speicher, beseitigt aber nicht die Folgen des bereits erlangten Root-Zugriffs. Wenn Sie Grund zur Annahme haben, dass die Schwachstelle ausgenutzt wurde, betrachten Sie den Host als kompromittiert und handeln Sie gemäß Ihrem Incident-Response-Prozess.

CVE-2026-46331 ist eine weitere Schwachstelle aus der Klasse der Seitencache-Korruptionsfehler, bei denen herkömmliche Werkzeuge zur Dateiintegritätsprüfung wirkungslos sind. Installieren Sie den korrigierten Kernel auf allen betroffenen Systemen, beginnend mit Mehrbenutzer-Nodes und der CI/CD-Infrastruktur. Wenn das Update aufgeschoben wird, sperren Sie das Modul act_pedit noch heute: Das ist ein einziger Befehl, erfordert keinen Neustart und beeinflusst die Funktionalität der überwiegenden Mehrheit der Systeme nicht.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.