Der Fehler mit der Kennung CVE-2026-46333, von Forschern „ssh-keysign-pwn“ getauft, erlaubt es lokalen Angreifern ohne Administratorrechte, sensible Daten zu stehlen. Es ist bereits der vierte schwerwiegende Kernel-Fehler innerhalb weniger Wochen.
Ein sechs Jahre alter Logikfehler
Die Schwachstelle sitzt in der Funktion __ptrace_may_access() – einem zentralen Sicherheitsmechanismus des Kernels, der kontrolliert, ob ein Prozess auf einen anderen zugreifen darf. Entdeckt wurde sie von der Qualys Threat Research Unit. Der Fehler tritt auf, wenn der Kernel die sogenannten „Dumpable“-Prüfungen überspringt – und zwar genau dann, wenn ein Prozess keinen Arbeitsspeicher mehr zugeordnet hat.
Das klingt nach einem Nischenfall, ist aber Standard: Wenn Linux einen Prozess beendet, gibt es zuerst den Speicher frei, erst danach schließt es die geöffneten Dateideskriptoren. In diesem kurzen Zeitfenster kann ein Angreifer zuschlagen. Mit dem Systemaufruf pidfd_getfd(2) – einer legitimen Funktion seit Kernel 5.6 – lässt sich ein Dateihandle aus dem sterbenden Prozess duplizieren.
Angesichts der komplexen Sicherheitsanforderungen moderner Betriebssysteme suchen viele Nutzer nach stabilen und transparenten Alternativen. Dieses kostenlose Startpaket zeigt Ihnen, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Linux Startpaket inklusive Ubuntu-Vollversion kostenlos sichern
Bereits 2020 hatte der Sicherheitsforscher Jann Horn auf das Problem hingewiesen, doch der damalige Patch wurde nie in den Hauptkernel übernommen.
So funktioniert der Angriff
Der Exploit zielt auf zwei verbreitete Linux-Programme: ssh-keysign und chage. Beide laufen mit Root-Rechten, um bestimmte Aufgaben zu erledigen, bevor sie ihre Privilegien wieder abgeben.
ssh-keysign ist ein Helfer von OpenSSH für die hostbasierte Authentifizierung. Öffnet ein Nutzer eine Verbindung, greift das Tool auf die privaten SSH-Host-Keys zu. Gelingt dem Angreifer das „Rennen“ um den Prozess-Exit, kann er diese Schlüssel stehlen – und damit den Server bei Man-in-the-Middle-Angriffen imitieren oder abgefangenen Datenverkehr entschlüsseln.
chage wiederum verwaltet Passwort-Ablaufdaten und öffnet kurz die Datei /etc/shadow. Ein erfolgreicher Angriff liefert dem Angreifer die gesamte Datenbank mit gehashten Passwörtern – und damit die Möglichkeit, diese offline zu knacken, ohne Sperren oder Alarm auszulösen.
Qualys veröffentlichte einen Proof-of-Concept, der den Exploit als hochzuverlässig einstuft. In Tests gelang der Angriff nach 100 bis 2.000 Prozessstarts – ein leicht automatisierbares Szenario.
Eine Serie von Kernel-Pannen
Die Entdeckung kommt zu einem denkbar ungünstigen Zeitpunkt. Innerhalb von drei Wochen wurden vier kritische Lücken bekannt:
- Copy Fail (CVE-2026-31431): Ein neun Jahre alter Fehler im Kryptografie-Subsystem, der bereits aktiv ausgenutzt wird.
- Dirty Frag (CVE-2026-43284/43500): Zwei Schwachstellen in Netzwerk- und Speicher-Subsystemen, die zusammen Root-Zugriff ermöglichen.
- Fragnesia (CVE-2026-46300): Ein Fehler im XFRM-Subsystem – ausgelöst durch den Patch für Dirty Frag.
- ssh-keysign-pwn (CVE-2026-46333): Der jüngste Fund, diesmal ein Logik- statt Speicherfehler.
Branchenbeobachter sehen einen Zusammenhang: Der verstärkte Einsatz von KI-gestützten Fuzzing-Tools deckt selbst subtile Logikfehler auf, die menschlichen Prüfern jahrelang entgangen sind. Die Kehrseite: eine intensive Patch-Phase, die Systemadministratoren an ihre Grenzen bringt.
Patchen allein reicht nicht
Linus Torvalds selbst hat den Fix für den ptrace-Fehler am 14. Mai 2026 eingespielt. Die stabilen Kernel-Versionen 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 und 5.10.256 sind aktualisiert. Auch Distributionen wie Ubuntu, Debian, Arch Linux und Raspberry Pi OS liefern Updates aus.
Doch Sicherheitsexperten warnen: Der Kernel-Patch ist nur der erste Schritt. Weil die Lücke den stillen Diebstahl privater Schlüssel erlaubt, gilt jedes System als potenziell kompromittiert, das vor dem Patch für unprivilegierte Nutzer zugänglich war.
Die US-Behörde CISA und zahlreiche Managed-Service-Anbieter fordern: SSH-Host-Keys sofort nach dem Patch rotieren. Neue Schlüssel generieren, SSH-Dienst neu starten – auch wenn Nutzer dann eine „Host Key Changed“-Warnung sehen. Nur so lässt sich ausschließen, dass gestohlene Keys für Angriffe genutzt werden.
Wer nicht sofort patchen kann, kann als Notlösung die Ausführungsrechte von ssh-keysign und chage entziehen. Das verhindert zwar die konkreten Angriffspfade, blockiert aber auch legitime Funktionen – und behebt den Kernel-Fehler nicht.
Lehren aus der Patch-Krise
Der Vorfall zeigt einen Wandel der Bedrohungslage: Lokale Privilegienausweitung wird so gefährlich wie Fernangriffe. In Cloud-Umgebungen reicht oft ein unprivilegierter Zugang, um die erste Fuß in der Tür zu haben. Ermöglicht dann ein Kernel-Fehler den Zugriff auf Root-Geheimnisse, ist die gesamte Infrastruktur gefährdet.
Dass der Fehler sechs Jahre unentdeckt blieb, verdeutlicht die Schwierigkeit, den riesigen Linux-Codebase abzusichern. Logikfehler wie dieser erfordern ein tiefes Verständnis der Kernel-Zustandsmaschine – sie lassen sich nicht einfach durch moderne Compiler abfangen.
Die Absicherung großer Code-Basen bleibt eine Herausforderung, weshalb immer mehr Anwender auf die bewährte Stabilität von Open-Source-Distributionen setzen. Holen Sie sich das Gratis-Startpaket und prüfen Sie die Vorteile von Ubuntu neben Ihrem aktuellen System – in wenigen Minuten startklar. Jetzt kostenloses Linux-Startpaket herunterladen
Der „Fragnesia“-Vorfall, bei dem ein Patch eine neue Lücke öffnete, ist zudem eine Warnung an die Branche. Die rasche Abfolge der Entdeckungen hat vielerorts zu Patch-Fatigue geführt – mit dem Risiko, dass überhastete Sicherheitsupdates neue Probleme schaffen.
Ausblick
Die Linux-Community arbeitet daran, den Kernel nach dieser Welle zu stabilisieren. Diskutiert wird unter anderem ein „Kernel-Kill-Switch“, um verwundbare Subsysteme schnell deaktivieren zu können – ein Vorschlag, der bereits für Debatten sorgt.
Für Unternehmen gilt: Die Ereignisse des Mai 2026 sind ein Weckruf. Robuste Sicherheit erfordert nicht nur regelmäßige Patches, sondern auch einen formalisierten Plan zur Schlüsselrotation und eine Defense-in-Depth-Strategie, die nicht blind auf die Integrität des Kernels vertraut. Die Linux-Entwickler zeigen sich zuversichtlich: Die erhöhte Aufmerksamkeit werde letztlich zu einem widerstandsfähigeren Betriebssystem führen.
