Sicherheitsforscher haben Details zu einer lokalen Privilegienerweiterungsschwachstelle (LPE) in Linux offengelegt, die es einem unprivilegierten lokalen Benutzer ermöglichen könnte, Root-Rechte zu erlangen. Die als hochkritisch eingestufte Schwachstelle mit der Kennung **CVE-2026-31431** (CVSS-Score: 7.8) wurde von **Xint.io** und **Theori** unter dem Codenamen **Copy Fail** bezeichnet. "Ein unprivilegierter lokaler Benutzer kann vier kontrollierte Bytes in den Page Cache jeder lesbaren Datei auf einem Linux-System schreiben und dies nutzen, um Root-Rechte zu erlangen", so das Schwachstellenforschungsteam von Xint.io und Theori [sagte](https://xint.io/blog/copy-fail-linux-distributions). ## Analyse der Grundursache Im Kern beruht die Schwachstelle auf einem Logikfehler im kryptografischen Subsystem des Linux-Kernels, insbesondere im Modul `algif_aead`. Das Problem wurde in einem [Commit im Quellcode](https://github.com/torvalds/linux/commit/72548b093ee3) im August 2017 eingeführt. Die erfolgreiche Ausnutzung dieser Schwäche könnte es einem einfachen Python-Skript mit 732 Bytes ermöglichen, eine SetUID-Binärdatei zu bearbeiten und auf praktisch allen seit 2017 ausgelieferten Linux-Distributionen, einschließlich **Amazon Linux**, **RHEL**, **SUSE** und **Ubuntu**, Root-Rechte zu erlangen. Der Python-Exploit umfasst vier Schritte: * Öffnen eines AF_ALG-Sockets und Binden an authencesn(hmac(sha256),cbc(aes)) * Konstruieren des Shellcode-Payloads * Auslösen der Schreiboperation in die vom Kernel zwischengespeicherte Kopie von "/usr/bin/su" * Aufrufen von execve("/usr/bin/su") zum Laden des injizierten Shellcodes und Ausführen als Root Obwohl die Schwachstelle isoliert nicht remote ausnutzbar ist, kann ein lokaler unprivilegierter Benutzer einfach durch Beschädigen des Page Cache einer SetUID-Binärdatei Root-Rechte erlangen. Derselbe Mechanismus hat auch Auswirkungen auf Container, da der Page Cache systemweit von allen Prozessen gemeinsam genutzt wird.  ## Reaktion der Anbieter Als Reaktion auf die Offenlegung haben Linux-Distributionen eigene Beratungen veröffentlicht: * [AlmaLinux](https://almalinux.org/blog/2026-05-01-cve-2026-31431-copy-fail/) * [Amazon Linux](https://explore.alas.aws.amazon.com/CVE-2026-31431.html) * [Arch Linux](https://security.archlinux.org/CVE-2026-31431) * [CloudLinux](https://blog.cloudlinux.com/cve-2026-31431-copy-fail-mitigation-and-patches) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-31431) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-31431) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-31431) * [SUSE](https://www.suse.com/security/cve/CVE-2026-31431.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-31431) ## Ähnliche Schwachstellen Copy Fail hat Parallelen zu [Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html) (CVE-2022-0847), einer weiteren LPE-Schwachstelle im Linux-Kernel, die es unprivilegierten Benutzern ermöglichte, Daten in den Page Cache von schreibgeschützten Dateien zu spleissen und letztendlich sensible Dateien auf dem System zu überschreiben, um Codeausführung zu erreichen. **David Brumley** von **Bugcrowd** [sagte](https://www.bugcrowd.com/blog/what-we-know-about-copy-fail-cve-2026-31431/): "Copy Fail ist die gleiche Art von Primitive, in einem anderen Subsystem. Die In-Place-Optimierung von 2017 in `algif_aead` ermöglicht es, dass eine Page-Cache-Seite in die beschreibbare Ziel-Scatterlist des Kernels für eine AEAD-Operation gelangt, die über einen AF_ALG-Socket übermittelt wird. Ein unprivilegierter Prozess kann dann splice() in diesen Socket treiben und einen kleinen, gezielten Schreibvorgang in den Page Cache einer Datei durchführen, die ihm nicht gehört." Was die Schwachstelle gefährlich macht, ist, dass sie zuverlässig ausgelöst werden kann und keine Race Condition oder Kernel-Offset erfordert. Darüber hinaus funktioniert derselbe Exploit distributionsübergreifend. "Diese Schwachstelle ist einzigartig, weil sie vier Eigenschaften aufweist, die fast nie zusammen auftreten: Sie ist portabel, winzig, unauffällig und containerübergreifend", sagte ein Sprecher von Xint.io gegenüber The Hacker News in einer Erklärung. "Sie ermöglicht es jedem Benutzerkonto, unabhängig von seiner Berechtigungsstufe, seine Privilegien auf volle Administratorrechte zu erweitern. Sie ermöglicht es ihnen auch, Sandboxing zu umgehen und funktioniert über alle Linux-Versionen und -Distributionen hinweg."