CVE-2026-31431

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen


Beschreibung

CVE-2026-31431, bekannt unter dem Namen „Copy Fail", ist eine schwerwiegende Sicherheitslücke im Linux-Kernel, die seit 2017 in praktisch allen gängigen Linux-Distributionen vorhanden ist (CVSS 7.8, „hoch").

Die Schwachstelle steckt im Kernel-Modul algif_aead, das Teil der kryptografischen Schnittstelle des Kernels ist. Durch einen Logikfehler kann ein normaler Benutzer ohne Root-Rechte gezielt Daten in den sogenannten Page Cache des Kernels schreiben – den Arbeitsspeicher-Bereich, in dem der Kernel Dateien zwischenspeichert.

Das Besondere: Die eigentliche Datei auf der Festplatte bleibt unverändert. Klassische Methoden zur Angriffserkennung wie Hashprüfungen oder Log-Analysen schlagen daher nicht an. Nach einem Neustart oder beim nächsten Leeren des Caches verschwinden alle Spuren automatisch.

Im Gegensatz zu vielen anderen Kernel-Exploits erfordert Copy Fail keine Programmierkenntnisse, kein präzises Timing und funktioniert zuverlässig auf allen betroffenen Systemen mit demselben Script.

Proof of Concept

prüft ob das System verwundbar ist
  • python3 test_cve_2026_31431.py
führt die Privilege Escalation durch
  • python3 exploit_cve_2026_31431.py --shell

Fix

Bis ein offizieller Kernel-Patch für die verwendete Distribution verfügbar ist, kann das verwundbare Modul deaktiviert werden. Dieser Schritt erfordert keinen Neustart und hat keine Auswirkungen auf normale Systemfunktionen wie Festplattenverschlüsselung, SSH oder VPN.

  • echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
  • rmmod algif_aead 2>/dev/null || true

Nach einem verfügbaren Kernel-Update:

Debian/Ubuntu

apt update && apt upgrade

Rocky Linux / RHEL

dnf update

Anschließend Neustart und prüfen ob das Update den Patch enthält.

Abgerufen von „http://wiki.ixheim.de/index.php?title=CVE-2026-31431&oldid=69287