„Copy Fail“: Linux-root in allen großen Distributionen mit 732 Byte Python

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Im Linux-Kernel haben IT-Forscher eine Schwachstelle entdeckt, die Angreifer zum Erlangen von root-Rechten missbrauchen können. Die Entdecker haben die Schwachstelle „Copy Fail“ getauft. Ihnen zufolge sind alle Linux-Distributionen, die seit 2017 verfügbar sind, davon betroffen.

Das schreiben die IT-Forscher in einem Blog-Beitrag, der Bericht ist ihnen jedoch sogar eine eigene Domain wert. Die Lücke haben sie offenbar mit dem KI-Werkzeug Xint Code aufgespürt. Es handelt sich um einen Logikfehler, der lokalen Nutzern im System ermöglicht, einen deterministischen, kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache jedes lesbaren Dateisystems eines Rechners auszuführen. Mit einem Python-Skript von 732 Byte Größe gelingt es den Forschern, eine Binärdatei mit setuid-Flag zu manipulieren und dadurch root-Rechte zu erlangen (CVE-2026-31431, CVSS 7.8, Risiko „hoch“).

Die IT-Sicherheitsforscher führen weiter aus, dass der Kernel die manipulierte Page nicht als „Dirty“ zum Rückschreiben aufs Laufwerk markiert, sodass die Datei unverändert bleibt und einfache Checksummen-Prüfungen von der Manipulation nichts mitbekommen. Beim tatsächlichen Dateizugriff erfolgt jedoch der Rückgriff auf den Page-Cache. Damit lassen sich zudem Container-Grenzen sprengen, da der Page-Cache auf dem Host geteilt wird. Konkret kündigen die IT-Forscher an, weitere Details zu veröffentlichen, die den Ausbruch aus Kubernetes-Containern erörtern.

Fehler im Krypto-Subsystem

Der Fund sei zwar KI-unterstützt gewesen, basierte aber auf Untersuchungen der Interaktion des Linux-Krypto-Subsystems mit Page-Cache-Daten. Interessierte finden sehr tiefgehende Details im Blog-Beitrag. Dort stellen die Programmierer auch einen Proof-of-Concept-Exploit vor. Das Python-Skript ist 732 Byte groß und verschafft lokalen Angreifern root-Rechte etwa unter Ubuntu 24.04 LTS mit Kernel 6.17.0-1007-aws, Amazon Linux 2023 mit Kernel 6.18.8-9.213.amzn2023, RHEL 10.1 und Kernel 6.12.0-124.45.1.el10_1 sowie SUSE 16 mit Kernel 6.12.0-160000.9-default. Zumindest haben die Entdecker der Schwachstelle diese Kombinationen erfolgreich getestet.

Einen Fix für den Kernel-Quellcode stellen die IT-Forscher ebenfalls bereit. Aktualisierte Kernel sollten inzwischen die größeren Distributionen bereitstellen. Als temporäre Gegenmaßnahme soll demnach aber helfen, AF_ALG-Socket-Erstellung über seccomp zu blockieren oder aber als algif_aead-Modul in die Blacklist aufzunehmen, sodass der Kernel es nicht lädt: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf && rmmod algif_aead 2>/dev/null im Terminal erledigt das und entfernt gegebenenfalls das geladene Modul aus dem Speicher.

Es ist erst wenige Tage her, da hat die Telekom mittels KI die Schwachstelle „Pack2TheRoot“ im Linux-Kernel aufgespürt. Auch hierbei handelt es sich um eine Rechteausweitungslücke, die sich in mehreren Linux-Distributionen in den Standardkonfigurationen ausnutzen ließ.

(dmk)