CVE-2026-31431: Unterschied zwischen den Versionen
(→Fix) |
|||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
=Beschreibung= | =Beschreibung= | ||
| + | CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende | ||
| + | Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen | ||
| + | Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch"). | ||
| − | = | + | Die Schwachstelle steckt im Kernel-Modul <code>algif_aead</code>, das Teil der |
| + | kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein | ||
| + | normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten ''Page Cache'' | ||
| + | des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien | ||
| + | zwischenspeichert. | ||
| + | |||
| + | Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. | ||
| + | Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen | ||
| + | schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches | ||
| + | verschwinden alle Spuren automatisch. | ||
| + | |||
| + | Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine | ||
| + | Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf | ||
| + | allen betroffenen Systemen mit demselben Script. | ||
| + | |||
| + | =Proof of Concept= | ||
*git clone https://github.com/rootsecdev/cve_2026_31431/ | *git clone https://github.com/rootsecdev/cve_2026_31431/ | ||
*cd cve_2026_31431/ | *cd cve_2026_31431/ | ||
| + | ;prüft ob das System verwundbar ist | ||
*python3 test_cve_2026_31431.py | *python3 test_cve_2026_31431.py | ||
| + | ;führt die Privilege Escalation durch | ||
*python3 exploit_cve_2026_31431.py --shell | *python3 exploit_cve_2026_31431.py --shell | ||
| + | |||
=Fix= | =Fix= | ||
| + | Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, | ||
| + | kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen | ||
| + | Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie | ||
| + | Festplattenverschlüsselung, SSH oder VPN. | ||
| + | |||
| + | ;Modul dauerhaft deaktivieren | ||
| + | *echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf | ||
| + | ;Modul sofort entladen | ||
| + | *rmmod algif_aead 2>/dev/null || true | ||
| + | |||
| + | Nach einem verfügbaren Kernel-Update: | ||
| + | |||
| + | ;Debian/Ubuntu | ||
| + | *apt update && apt upgrade | ||
| + | ;Rocky Linux / RHEL | ||
| + | *dnf update | ||
| + | |||
| + | Anschließend Neustart und prüfen ob das Update den Patch enthält. | ||
| + | |||
| + | [[Kategorie:Security]] | ||
Aktuelle Version vom 1. Mai 2026, 10:11 Uhr
Beschreibung
CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch").
Die Schwachstelle steckt im Kernel-Modul algif_aead, das Teil der
kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein
normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten Page Cache
des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien
zwischenspeichert.
Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches verschwinden alle Spuren automatisch.
Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf allen betroffenen Systemen mit demselben Script.
Proof of Concept
- git clone https://github.com/rootsecdev/cve_2026_31431/
- cd cve_2026_31431/
- prüft ob das System verwundbar ist
- python3 test_cve_2026_31431.py
- führt die Privilege Escalation durch
- python3 exploit_cve_2026_31431.py --shell
Fix
Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie Festplattenverschlüsselung, SSH oder VPN.
- Modul dauerhaft deaktivieren
- echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
- Modul sofort entladen
- rmmod algif_aead 2>/dev/null || true
Nach einem verfügbaren Kernel-Update:
- Debian/Ubuntu
- apt update && apt upgrade
- Rocky Linux / RHEL
- dnf update
Anschließend Neustart und prüfen ob das Update den Patch enthält.