Beschreibung

CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch").

Die Schwachstelle steckt im Kernel-Modul algif_aead, das Teil der kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten Page Cache des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien zwischenspeichert.

Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches verschwinden alle Spuren automatisch.

Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf allen betroffenen Systemen mit demselben Script.

Proof of Concept

• git clone https://github.com/rootsecdev/cve_2026_31431/
• cd cve_2026_31431/

prüft ob das System verwundbar ist

• python3 test_cve_2026_31431.py

führt die Privilege Escalation durch

• python3 exploit_cve_2026_31431.py --shell

Fix

Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie Festplattenverschlüsselung, SSH oder VPN.

• echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
• rmmod algif_aead 2>/dev/null || true

Nach einem verfügbaren Kernel-Update:

Debian/Ubuntu

apt update && apt upgrade

Rocky Linux / RHEL

dnf update

Anschließend Neustart und prüfen ob das Update den Patch enthält.