Linux-Kernel: KI entdeckt 15 Jahre alten Fehler mit Root-Zugriff

Linux-Distributionen schließen kritische Lücken, darunter den KVM-Escape Januscape und den KI-Fund GhostLock.

Red Hat, Ubuntu, SUSE und weitere Distributionen haben zeitgleich zahlreiche schwerwiegende Sicherheitslücken im Linux-Kernel geschlossen. Besonders brisant: Ein KI-Tool entdeckte einen 15 Jahre alten Fehler.

Am heutigen Samstag und bereits gestern haben die führenden Linux-Distributionen eine koordinierte Welle von Sicherheitsupdates veröffentlicht. Im Fokus stehen mehrere kritische Schwachstellen – darunter ein gefährlicher KVM-Hypervisor-Escape und ein jahrzehntealter Synchronisationsfehler, der durch Künstliche Intelligenz aufgespürt wurde.

Januscape: Die KVM-Krise

Das mit Spannung erwartete Update adressiert vor allem CVE-2026-53359, besser bekannt als Januscape. Die am 6. Juli öffentlich gemachte Schwachstelle erreicht einen CVSS-Score von 9,8 – die höchste Risikostufe. Sie betrifft den Linux-KVM (Kernel-based Virtual Machine) auf x86-Architekturen und ist ein Use-After-Free-Fehler in der Shadow Memory Management Unit (MMU).

Besonders betroffen sind Systeme mit aktivierter verschachtelter Virtualisierung. Sicherheitsforscher warnen: Eine nicht vertrauenswürdige Gast-VM könnte einen Host-Kernel-Panic auslösen oder sogar vom Gast auf den Host übergreifen. Der Upstream-Fix wurde zwar bereits im Juni eingespielt, doch die Distributionen und Cloud-Anbieter rollten die Produktions-Patches erst jetzt aus.

Der Cloud-Anbieter HostNamaste bestätigte am 16. Juli, dass alle betroffenen KVM-Host-Knoten gepatcht seien. Die Schwachstelle stelle ein erhebliches Risiko für Multi-Tenant-Umgebungen dar, so das Unternehmen. Red Hat veröffentlichte zwischen dem 16. und 17. Juli wichtige Kernel-Updates für RHEL 8, 9 und 10, die sowohl Januscape als auch eine verwandte KVM-Schwachstelle (CVE-2026-46113) beheben.

GhostLock: Ein KI-Fund mit Sprengkraft

Parallel dazu sorgt die Entdeckung von GhostLock (CVE-2026-43499) für Aufsehen. Der 15 Jahre alte Fehler in der Linux-Kernel-Synchronisationslogik wurde mit dem KI-Tool VEGA aufgespürt. Es handelt sich um einen Use-After-Free-Bug, der eine lokale Rechteausweitung ermöglicht. Forscher demonstrierten, dass ein Exploit in etwa fünf Sekunden Root-Zugriff gewähren kann.

Anzeige

Angesichts immer komplexerer Bedrohungen durch KI-entdeckte Sicherheitslücken wird ein stabiles und gepflegtes System für IT-Verantwortliche zur Pflicht. Das kostenlose Linux-Startpaket zeigt Ihnen, wie Sie Ubuntu parallel zu Windows installieren und von der hohen Sicherheit moderner Distributionen profitieren. Ubuntu-Vollversion und Gratis-Startpaket sichern

Erst am 16. Juli veröffentlichten ESET-Forscher zudem Erkenntnisse zu einer UEFI-Shim-Schwachstelle. Insgesamt elf ältere Shim-Bootloader könnten demnach genutzt werden, um Secure Boot zu umgehen – ein Problem, das eine breite Palette von Hardware-Konfigurationen betrifft.

Die Patch-Welle im Überblick

Die Zahl der Sicherheitshinweise stieg in dieser Woche massiv an, als die Maintainer ihre Antworten auf die Bedrohungen synchronisierten.

Ubuntu veröffentlichte heute ein umfangreiches Paket von Sicherheitshinweisen für verschiedene Kernel-Versionen, darunter Ubuntu 25.10 und 24.04 LTS. Die Updates decken mehr als 60 einzelne CVEs ab. Bereits am 15. und 16. Juli hatte Ubuntu Patches für Schwachstellen in Authlib, Ruby, .NET und dem NTFS-3G-Treiber bereitgestellt.

Anzeige

Während Profi-Systeme wie Ubuntu durch schnelle Patch-Zyklen glänzen, scheuen viele Nutzer den Umstieg aufgrund der komplizierten Einrichtung. Entdecken Sie im kostenlosen Startpaket, wie Sie die Vorteile von Ubuntu risikofrei und in wenigen Minuten neben Ihrem bestehenden System testen. Kostenlosen Ubuntu-Guide jetzt herunterladen

Red Hat erweiterte seine Kernel-Updates um mehrere Advisories vom 17. Juli für die OpenShift Container Platform, Python 3.14 und den Pacemaker-Cluster-Ressourcenmanager. Die Updates betreffen verschiedene RHEL-Versionen, darunter spezialisierte SAP-Lösungen und die Telecommunications Update Service (TUS)-Editionen.

SUSE und openSUSE brachten heute Live Patch 33 für SLE 15 SP4 auf den Markt, der einen hochriskanten Netzwerk-Exploit (CVE-2024-57996) und ein Speicherleck behebt. Parallel dazu veröffentlichten beide Distributionen Updates für Kubernetes 1.26 und 1.28 zur Behebung von CVE-2025-22872 – einer Schwachstelle durch nicht korrekt gesetzte Anführungszeichen, die die Containersicherheit gefährden könnte.

Oracle Linux schließlich veröffentlichte am 17. Juli ein hochriskantes Kernel-Update für Oracle Linux 10, das auf einem Patch-Set vom 8. Juli basiert. Es adressiert mehrere kryptografische Schwachstellen (CVE-2026-31431 und CVE-2026-23060) mit CVSS-Scores von bis zu 8,6 – für die funktionsfähige Exploits bereits verfügbar sein sollen.

Wichtiger Hinweis für Administratoren

Systemadministratoren sollten beachten: Viele dieser Kernel-Updates erfordern einen Systemneustart, um die Behebung abzuschließen. Dies gilt insbesondere für RHEL- und Oracle-Linux-Installationen, die keine Live-Patching-Technologie nutzen.