CVE-2026-31431: Unterschied zwischen den Versionen
(→Fix) |
|||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
=Beschreibung= | =Beschreibung= | ||
| − | |||
CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende | CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende | ||
Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen | Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen | ||
| Zeile 21: | Zeile 20: | ||
=Proof of Concept= | =Proof of Concept= | ||
| − | + | *git clone https://github.com/rootsecdev/cve_2026_31431/ | |
| − | * | + | *cd cve_2026_31431/ |
| − | * | + | ;prüft ob das System verwundbar ist |
| − | + | *python3 test_cve_2026_31431.py | |
| − | * | + | ;führt die Privilege Escalation durch |
| + | *python3 exploit_cve_2026_31431.py --shell | ||
=Fix= | =Fix= | ||
| − | |||
Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, | Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, | ||
kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen | kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen | ||
| Zeile 34: | Zeile 33: | ||
Festplattenverschlüsselung, SSH oder VPN. | Festplattenverschlüsselung, SSH oder VPN. | ||
| − | + | ;Modul dauerhaft deaktivieren | |
| − | echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf | + | *echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf |
| − | rmmod algif_aead 2>/dev/null || true | + | ;Modul sofort entladen |
| − | + | *rmmod algif_aead 2>/dev/null || true | |
Nach einem verfügbaren Kernel-Update: | Nach einem verfügbaren Kernel-Update: | ||
| − | + | ;Debian/Ubuntu | |
| − | apt update && apt upgrade | + | *apt update && apt upgrade |
| − | + | ;Rocky Linux / RHEL | |
| − | + | *dnf update | |
Anschließend Neustart und prüfen ob das Update den Patch enthält. | Anschließend Neustart und prüfen ob das Update den Patch enthält. | ||
| + | |||
| + | [[Kategorie:Security]] | ||
Aktuelle Version vom 1. Mai 2026, 10:11 Uhr
Beschreibung
CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch").
Die Schwachstelle steckt im Kernel-Modul algif_aead, das Teil der
kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein
normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten Page Cache
des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien
zwischenspeichert.
Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches verschwinden alle Spuren automatisch.
Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf allen betroffenen Systemen mit demselben Script.
Proof of Concept
- git clone https://github.com/rootsecdev/cve_2026_31431/
- cd cve_2026_31431/
- prüft ob das System verwundbar ist
- python3 test_cve_2026_31431.py
- führt die Privilege Escalation durch
- python3 exploit_cve_2026_31431.py --shell
Fix
Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie Festplattenverschlüsselung, SSH oder VPN.
- Modul dauerhaft deaktivieren
- echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
- Modul sofort entladen
- rmmod algif_aead 2>/dev/null || true
Nach einem verfügbaren Kernel-Update:
- Debian/Ubuntu
- apt update && apt upgrade
- Rocky Linux / RHEL
- dnf update
Anschließend Neustart und prüfen ob das Update den Patch enthält.