Kritische 'Copy-Fail'-Schwachstelle im Linux-Kernel birgt weitreichendes Risiko zur Rechteausweitung
Eine neu entdeckte Schwachstelle im **Linux**-Kernel, 'copy.fail' genannt, birgt ein erhebliches Risiko zur lokalen Rechteausweitung über zahlreiche Distributionen hinweg. Die von **Theori** am 29. April 2026 offengelegte Schwachstelle ermöglicht es einem Angreifer mit minimalen Rechten, Root-Zugriff zu erlangen und potenziell gemeinsam genutzte Infrastrukturumgebungen zu kompromittieren.
Die 'copy.fail'-Schwachstelle (zugewiesen **CVE-2026-31431**) stellt eine ernste Bedrohung für **Linux**-Systeme dar und ermöglicht die lokale Rechteausweitung. Das bedeutet, dass ein Angreifer, der bereits ein gewisses Maß an Zugriff auf eine Maschine erlangt hat, auch mit eingeschränkten Rechten, seine Rechte auf Root-Ebene erhöhen kann.
### Technische Details
Der **exploit** nutzt die Kernel-Krypto-API (**AF_ALG**-Sockets) in Verbindung mit der `splice()`-Funktion aus. Dies ermöglicht es Angreifern, vier Bytes auf einmal direkt in den Page Cache einer Datei zu schreiben, die ihnen nicht gehört. Die Schwachstelle ist besonders gefährlich, da sie die Datei auf der Festplatte nicht verändert und somit die Erkennung durch gängige Integritätsüberwachungstools wie **AIDE** und **Tripwire** umgeht.
### Weitreichende Auswirkungen
Die Schwachstelle betrifft eine breite Palette von **Linux**-Distributionen, darunter **Ubuntu**, **RHEL**, **Debian**, **SUSE**, **Amazon Linux** und **Fedora**. Der **exploit** funktioniert über diese Distributionen hinweg konsistent, ohne dass spezifische Offsets oder Anpassungen erforderlich sind.
### Auswirkungen auf gemeinsame Infrastrukturen
Die 'copy.fail'-Schwachstelle hat schwerwiegende Auswirkungen auf gemeinsam genutzte Infrastrukturen, wie zum Beispiel:
* Container auf gemeinsam genutzten **Kubernetes**-Knoten
* Mieter in gemeinsam genutzten Hosting-Umgebungen
* CI/CD-Jobs, die nicht vertrauenswürdige Pull-Requests ausführen
* **WSL2**-Instanzen auf **Windows**-Laptops
* Containerisierte KI-Agenten mit Shell-Zugriff
In diesen Szenarien teilen sich mehrere Benutzer oder Prozesse denselben **Linux**-Kernel und sind somit anfällig für Angriffe zur Rechteausweitung.
### Abhilfemaßnahmen
Ein Patch, der die Schwachstelle behebt, wurde am 1. April in den Mainline-Kernel integriert. Distributionen rollen derzeit aktualisierte Kernel aus. Bis die Systeme gepatcht sind, sollten Sie benutzerdefinierte seccomp-Profile implementieren, um den anfälligen Syscall zu blockieren. Die Standard-**Kubernetes**-Pod-Sicherheitsstandards (Restricted) und das RuntimeDefault-seccomp-Profil blockieren den vom **exploit** verwendeten Syscall nicht.
### Referenzen
[Originale Offenlegung der Schwachstelle](https://jorijn.com/en/blog/copy-fail-cve-2026-31431-linux-kernel-bug-explained/)
[Nachrichtenartikel](https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/)