CVE-2026-31431: Unterschied zwischen den Versionen
(→Fix) |
|||
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
=Beschreibung= | =Beschreibung= | ||
| − | |||
CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende | CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende | ||
Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen | Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen | ||
| Zeile 23: | Zeile 20: | ||
=Proof of Concept= | =Proof of Concept= | ||
| − | |||
*git clone https://github.com/rootsecdev/cve_2026_31431/ | *git clone https://github.com/rootsecdev/cve_2026_31431/ | ||
*cd cve_2026_31431/ | *cd cve_2026_31431/ | ||
| Zeile 32: | Zeile 28: | ||
=Fix= | =Fix= | ||
| − | |||
Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, | Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, | ||
kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen | kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen | ||
| Zeile 38: | Zeile 33: | ||
Festplattenverschlüsselung, SSH oder VPN. | Festplattenverschlüsselung, SSH oder VPN. | ||
| + | ;Modul dauerhaft deaktivieren | ||
*echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf | *echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf | ||
| + | ;Modul sofort entladen | ||
*rmmod algif_aead 2>/dev/null || true | *rmmod algif_aead 2>/dev/null || true | ||
| Zeile 44: | Zeile 41: | ||
;Debian/Ubuntu | ;Debian/Ubuntu | ||
| − | apt update && apt upgrade | + | *apt update && apt upgrade |
;Rocky Linux / RHEL | ;Rocky Linux / RHEL | ||
| − | dnf update | + | *dnf update |
Anschließend Neustart und prüfen ob das Update den Patch enthält. | Anschließend Neustart und prüfen ob das Update den Patch enthält. | ||
| + | |||
| + | [[Kategorie:Security]] | ||
Aktuelle Version vom 1. Mai 2026, 10:11 Uhr
Beschreibung
CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch").
Die Schwachstelle steckt im Kernel-Modul algif_aead, das Teil der
kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein
normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten Page Cache
des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien
zwischenspeichert.
Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches verschwinden alle Spuren automatisch.
Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf allen betroffenen Systemen mit demselben Script.
Proof of Concept
- git clone https://github.com/rootsecdev/cve_2026_31431/
- cd cve_2026_31431/
- prüft ob das System verwundbar ist
- python3 test_cve_2026_31431.py
- führt die Privilege Escalation durch
- python3 exploit_cve_2026_31431.py --shell
Fix
Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie Festplattenverschlüsselung, SSH oder VPN.
- Modul dauerhaft deaktivieren
- echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
- Modul sofort entladen
- rmmod algif_aead 2>/dev/null || true
Nach einem verfügbaren Kernel-Update:
- Debian/Ubuntu
- apt update && apt upgrade
- Rocky Linux / RHEL
- dnf update
Anschließend Neustart und prüfen ob das Update den Patch enthält.