Beschreibung

CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch").

Die Schwachstelle steckt im Kernel-Modul algif_aead, das Teil der kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten Page Cache des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien zwischenspeichert.

Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches verschwinden alle Spuren automatisch.

Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf allen betroffenen Systemen mit demselben Script.

Proof of Concept

• git clone https://github.com/rootsecdev/cve_2026_31431/
• cd cve_2026_31431/

prüft ob das System verwundbar ist

• python3 test_cve_2026_31431.py

führt die Privilege Escalation durch

• python3 exploit_cve_2026_31431.py --shell

Fix

Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie Festplattenverschlüsselung, SSH oder VPN.

Modul dauerhaft deaktivieren

• echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

Modul sofort entladen

• rmmod algif_aead 2>/dev/null || true

Nach einem verfügbaren Kernel-Update:

Debian/Ubuntu

• apt update && apt upgrade

Rocky Linux / RHEL

• dnf update

Anschließend Neustart und prüfen ob das Update den Patch enthält.