![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/Linux.jpg\")
Mittels KI ist gerade eine neue Schwachstelle CVE-2026-31431 (Copy Fail) in Linux aufgedeckt worden. Diese Schwachstelle erlaubt Angreifern faktisch in allen seit 2017 ver\u00f6ffentlichten Linux-Distributionen Root-Rechte zu erlangen. Allerdings muss der Angreifer auf dem Linux-System ein Benutzerkonto haben. Eine Mitigation bis zur Bereitstellung von Distributions-Updates ist wohl m\u00f6glich.<\/p>\n
<\/p>\n
Es ist eine als Copy Fail<\/a> bezeichnete Schwachstelle im Linux-Kernel, die in der\u00a0Schnittstelle des kryptografischen Algorithmus algif_aead <\/em>steckt. Entdeckt wurde die Schwachstelle wohl per AI. theori-io hat in diesem GitHub-Beitrag<\/a> die Linux-Distributionen aufgelistet, die er getestet hat und als angreifbar betrachtet. Die technische Beschreibung bzw. Offenlegung findet sich in diesem Blog-Beitrag<\/a> vom 29. April 2026.<\/p>\n In der Routine algif_aead <\/em>gibt es eine fehlerhafte \"In-Place-Operation<\/em>\", bei der die Zuordnungen der Quell- und Zieldaten voneinander abweichen. Dies k\u00f6nnte w\u00e4hrend kryptografischer Vorg\u00e4nge zu unerwartetem Verhalten oder Problemen mit der Datenintegrit\u00e4t f\u00fchren und m\u00f6glicherweise die Zuverl\u00e4ssigkeit der verschl\u00fcsselten Kommunikation beeintr\u00e4chtigen. Redhat hat bereits am 22. April 2026 in diesem Artikel<\/a> Details zur Schwachstelle zusammen getragen, am 30. April 2026 gab es wohl eine Aktualisierung.<\/p>\n Ein Angreifer ben\u00f6tigt lediglich ein normales Benutzerkonto auf dem Rechner (es ist also nichts remote angreifbar. Von seinem lokalen Benutzerkonto kann er ein portables Python-Skript ausf\u00fchren. Dieses\u00a0weist den Kernel an, bestimmte\u00a0 Verschl\u00fcsselungen durchzuf\u00fchren. Dabei nutzt das Script den Implementierungsfehler aus und schreibt 4 Bytes in den \"Page Cache\"-Speicherbereich (die Hochgeschwindigkeitskopie von Dateien im RAM unter Linux).<\/p>\n Diese 4 Bytes k\u00f6nnen auf jedes Programm abzielen, dem das System vertraut, wie beispielsweise \/usr\/bin\/su, die Abk\u00fcrzung, um Root-Rechte zu erlangen. Sobald jemand dieses Programm das n\u00e4chste Mal ausf\u00fchrt, gew\u00e4hrt es dem Angreifer Root-Zugriff. Bei kernel.org hat man die Schwachstelle mit dem CVSS-Score von 7.8 eingestuft.<\/p>\n In\u00a0diesem Blog-Beitrag<\/a> mit der technischen Beschreibung des Problems wird die Anwendung dieses Patches<\/a> vom 31. M\u00e4rz 2026 als Fix beschrieben. Dieser deaktiviert die \"In-Place-Operation\", so dass das Problem nicht mehr auftreten kann.<\/p>\n Wenn ich es richtig sehe, gibt es bei den meisten Linux-Distributionen noch keinen Patch f\u00fcr die Schwachstelle. Bei lokal betriebenen Linux-Systemen mit nur einem Nutzer d\u00fcrfte das auch nicht so das Problem sein. Problematischer wird es aber bei Linux-Systemen, die als Terminal-Server, f\u00fcr shared Hosting, Container etc. viele Nutzer haben. Hier k\u00f6nnten die Nutzer Root-Rechte erlangen.<\/p>\n Tomas Jakobs hat hier im Diskussionsbereich des Blogs in einem Kommentar auf seinen Blog-Beitrag<\/a> zum Thema verwiesen. Die von ihm angewandte Schutzm\u00f6glichkeit vor der Schwachstelle besteht schlicht darin, algif_aead<\/em> zu deaktivieren bzw. zu l\u00f6schen. Ist auch in diesem Blog-Post<\/a> des Entdeckers so beschrieben. Dort hei\u00dft es: \"For immediate mitigation<\/strong>, block AF_ALG\u00a0socket creation via seccomp or blacklist the\u00a0algif_aead< module\". Dazu l\u00e4sst sich nachfolgender Befehl zum Blocken verwenden:<\/p>\n Redhat hat in diesem Artikel<\/a> aufgelistet, welche seiner Distributionen betroffen sind. Von OpenWall gibt es diese<\/a> und diese<\/a> Zusammenfassung zum Sachverhalt. Die NIST-Beschreibung zu CVE-2026-31431<\/a> verlinkt alle relevanten Dokumente zu Copy Fail.<\/p>\n","protected":false},"excerpt":{"rendered":" Mittels KI ist gerade eine neue Schwachstelle CVE-2026-31431 (Copy Fail) in Linux aufgedeckt worden. Diese Schwachstelle erlaubt Angreifern faktisch in allen seit 2017 ver\u00f6ffentlichten Linux-Distributionen Root-Rechte zu erlangen. Allerdings muss der Angreifer auf dem Linux-System ein Benutzerkonto haben. Eine Mitigation … Weiterlesen Ich bin bereits vor einigen Stunden \u00fcber nachfolgenden Tweet<\/a> auf die Copy Fail Schwachstelle (CVE-2026-31431<\/a>) gesto\u00dfen (die bereits im M\u00e4rz 2026 entdeckt, aber erst zum 29. April 2026 bekannt wurde), komme aber erst jetzt dazu, das Thema aufzubereiten.<\/p>\n
![\"Linux](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/Linux-CopyFail.jpg\")
<\/a><\/p>\nBenutzer k\u00f6nnen Root-Rechte erlangen<\/h2>\n
Noch keine Distro-Updates, aber Schutz m\u00f6glich<\/h2>\n
echo\"install algif_aead \/bin\/false\" > \/etc\/modprobe.d\/disable-algif-aead.conf\r\nrmmod algif_aead 2>\/dev\/null<\/pre>\n