Die Schwachstelle wurde von **Theori**, einem Unternehmen für offensive Sicherheit, mit seiner KI-gesteuerten Pentesting-Plattform **Xint Code** entdeckt, nachdem der Krypto-Subsystem von Linux etwa eine Stunde lang gescannt wurde. **Theori** meldete den Fund am 23. März an das Linux-Kernel-Sicherheitsteam, und Patches waren innerhalb einer Woche verfügbar. Technische Details und ein Proof-of-Concept-Exploit tauchten kurz darauf öffentlich auf. Obwohl das Cybersicherheitsunternehmen einen "100% zuverlässigen" Python-basierten Exploit für vier Linux-Distributionen (**Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** und **SUSE 16**) entwickelt und getestet hat, behaupten die Forscher, dass das 732-Byte-Skript jede seit 2017 ausgelieferte Linux-Distribution rootet. ### Copy Fail: Ursache der Schwachstelle In einem [detaillierten Bericht](https://xint.io/blog/copy-fail-linux-distributions) erklären die Forscher, dass das Copy Fail (**CVE-2026-31431**)-Problem "ein Logikfehler im kryptografischen Template von Linux-Kernel's authencesn" ist, der es einem authentifizierten Benutzer ermöglicht, zuverlässig einen "4-Byte-Schreibvorgang in den Page Cache jeder lesbaren Datei im System" durchzuführen. Durch die Kombination der 'AF_ALG'-Socket-basierten Schnittstelle, die den Zugriff auf die Krypto-Funktionen des Linux-Kernels aus dem User-Space ermöglicht, und des `splice()`-Systemaufrufs kann ein Benutzer ohne Privilegien einen 4-Byte-kontrollierten Schreibvorgang in den Page Cache einer Datei statt in einen normalen Puffer ausführen. Wenn diese 4 Bytes eine setuid-root-Binärdatei treffen, können sie deren Verhalten bei der Ausführung verändern und dem Angreifer Root-Privilegien gewähren. Die Schwachstelle wurde 2017 eingeführt, als das Linux-Kernel-Team eine "In-Place"-Optimierung für den Krypto-Pfad hinzufügte, was bedeutete, dass derselbe Puffer wiederverwendet wurde, anstatt Eingabe und Ausgabe strikt getrennt zu halten. ### Auswirkungen und Behebung Der Proof-of-Concept (PoC) von **Theori** ist ein konstant effektiver 732-Byte-Exploit, der laut den Forschern Root-Zugriff auf jede wichtige Linux-Distribution gewährt, die auf einer anfälligen Linux-Kernel-Version läuft. Sie demonstrierten und bestätigten den [Copy Fail](https://copy.fail/)-Exploit auf **Ubuntu 24.04**, **Amazon Linux 2023**, **RHEL 10.1** und **SUSE 16**:  Copy Fail wird als näher an der '[Dirty Pipe](https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/)' Schwachstelle eingestuft als typische lokale Rechteausweitungsschwachstellen, ist zuverlässiger (angeblich 100% Erfolg) und breiter ausnutzbar als die meisten Fehler dieser Klasse. Selbst im Vergleich zu Dirty Pipe wird Copy Fail als praktischer angesehen. "Copy Fail ist portabler. Ein Skript, jede Distro, keine Offsets. Dirty Pipe benötigte Kernel ≥ 5.8 mit spezifischen Patches; Copy Fail deckt das gesamte Fenster von 2017–2026 ab", bemerken die **Theori**-Forscher. [CVE-2026-31431](https://nvd.nist.gov/vuln/detail/CVE-2026-31431) wurde am 1. April Upstream behoben, indem das problematische "In-Place"-Krypto-Verhalten, das in der Linux-Kernel-Version 4.14 im Jahr 2017 eingeführt wurde, rückgängig gemacht wurde. Die Behebungen wurden in den Versionen 6.18.22, 6.19.12 und 7.0 verfügbar gemacht. Laut den Forschern pushen wichtige Linux-Distributionen die Behebung bereits über Kernel-Updates. Will Dormann, Principal Vulnerability Analyst bei Tharros, merkt jedoch an, dass es keine "offiziellen Updates für CVE-2026-31431" gibt. "Fedora 42 und neuer haben Updates, aber keine offizielle Beratung oder Bestätigung von CVE-2026-31431", sagt [Dormann](http://infosec.exchange/@wdormann/116493725294723695). Als vorübergehende Abhilfemaßnahme für diejenigen, die noch keine Updates erhalten haben, empfehlen die Forscher, die anfällige Krypto-Schnittstelle zu deaktivieren, was die Erstellung von AF_ALG-Sockets blockieren würde, oder das algif_aead-Modul zu deaktivieren: bash echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead Die **Theori**-Forscher schlagen vor, Multi-Tenant-Linux-Hosts, Kubernetes/Container-Cluster, CI-Runner/Build-Farmen und Cloud-SaaS, die Benutzercode ausführen, bei der Patching-Anstrengung zu priorisieren. ## [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier Zero-Days zu einem Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, beweist, dass Kontrollen standhalten, und den Remediation-Loop schließt. [Platz sichern](https://hubs.li/Q04crVgD0)