Linux-Lücke „Copy Fail“ wird bereits angegriffen

Erst vor dem verlängerten Wochenende wurde die Linux-Sicherheitslücke „Copy Fail“ bekannt. Missbrauchen Angreifer sie, können sie auf den meisten größeren Linux-Distributionen seit 2017 in den Standard-Installationen an root-Rechte gelangen. Und das machen sie inzwischen auch.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor Missbrauch der Schwachstelle in der freien Wildbahn. Sie fasst die Lücke mit der Beschreibung „Sicherheitslücke im Linux-Kernel aufgrund falscher Ressourcenübergabe zwischen Bereichen“ zusammen (CVE-2026-31431, CVSS 7.8, Risiko „hoch“). Gleich mehrere Fassungen von Proof-of-Concept-Exploit-Code stehen inzwischen im Netz zur Verfügung.

Jetzt Updates installieren

Aktualisierter Linux-Quellcode steht bereits seit rund zwei Wochen zur Verfügung. Greg Kroah-Hartman hat erste Patches für die Kernel 6.18.22, 6.19.12 und 7.0 angekündigt sowie weitere Backports in Aussicht gestellt. Inzwischen haben die meisten Linux-Distributionen auch korrigierte Installationspakete dazu im Angebot. IT-Verantwortliche sollten diese zügig herunterladen und installieren.

Die Schwachstelle haben IT-Forscher mit KI-Hilfe gefunden. Sie haben dafür Xint Code verwendet. Linux enthält demnach einen Logikfehler, der lokalen Nutzern im System ermöglicht, einen deterministischen, kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache jedes lesbaren Dateisystems eines Rechners auszuführen. Mit einem Python-Skript von 732 Byte Größe gelingt es den Forschern, eine Binärdatei mit setuid-Flag zu manipulieren und dadurch root-Rechte zu erlangen. Das Ganze passiert im Page-Cache, ohne Spuren etwa auf dem Laufwerk zu hinterlassen. Da der Page-Cache vom Host geteilt wird, können Angreifer sich nicht nur root-Rechte verschaffen, sondern beispielsweise auch aus Containern ausbrechen.

(dmk)