Archiv für das Monat: Juli, 2026

Kali Linux 2026.2

Kali Linux 2026.2 veröffentlicht: Dreifach schnellerer VM-Boot, GNOME 50 und 9 neue Werkzeuge

Das Entwicklerteam von Offensive Security hat das zweite vierteljährliche Major-Update des Jahres freigegeben: Kali Linux 2026.2. Während die Distribution optisch mit den neuesten Desktop-Umgebungen glänzt, bringt dieses Release fundamentale Optimierungen bei der Performance virtueller Maschinen sowie wichtige strukturelle Anpassungen im Paketmanagement mit sich.

Die VM-Diät: Bis zu 3x schnellere Bootzeiten

Für Penetration Tester und Security-Analysten, die Kali Linux im Rahmen von automatisierten CI/CD-Pipelines oder in lokalen Virtualisierungsumgebungen (QEMU, VirtualBox, VMware) betreiben, bringt Version 2026.2 eine massive Erleichterung.

Das Team hat analysiert, dass die standardmäßig mitgelieferte Grafik-Firmware in virtuellen Umgebungen fast nie benötigt wird. Daher wurde die Grafik-Firmware aus den vorkonfigurierten VM-Images komplett entfernt. Zudem erkennt das Installationsmedium nun automatisch, ob eine Installation innerhalb einer VM stattfindet, und spart sich die Treiberpakete. Die RAM-Disk (initrd) schrumpft dadurch auf gerade einmal 60 MB, was die Bootzeit im Test um das Dreifache verkürzte. Bare-Metal-Installationen bleiben davon unberührt und behalten den vollen Treibersupport.

Neue Tools und das Comeback eines Klassikers

Das offizielle Netzwerk-Repository wächst um neun mächtige Werkzeuge, die aktuelle Angriffstrends und administrative Anforderungen abbilden:

  • shell-gpt: Ein KI-gestütztes Produktivitätswerkzeug, das Beschreibungen in natürlicher Sprache direkt im Terminal in ausführbare Befehle übersetzt.

  • legba: Ein moderner, extrem schneller Multiprotokoll-Enumerator für Password-Spraying- und Brute-Force-Angriffe.

  • hydra-gtk: Die GTK+-basierte grafische Oberfläche für den legendären Network-Logon-Cracker Hydra ist zurück.

  • oletools: Spezialisierte Skripte zur tieferen Analyse von Microsoft OLE2-Dateien und bösartigen Office-Makros.

  • tookie-osint: Ein hocheffizientes OSINT-Werkzeug zur gezielten Social-Media-Recherche.

  • Weitere Zugänge: arsenal-ng (Cheat-Sheet-Bibliothek), penelope (Shell-Handler), tailscale (sichere VPN-Konnektivität) und uro (URL-Bereinigung für Web-Crawler).

Infrastruktur-Anpassungen: Helper-Scripts und APT-Formate

Um die Bedienung im Alltag konsistenter zu gestalten, wurden die Services-Helper-Scripts komplett überarbeitet. Startet ein Admin nun einen Hintergrunddienst, verhindern die Skripte nicht nur doppelte Instanzen, sondern listen übersichtlich die Standard-Zugangsdaten (Credentials) auf und werfen die exakte Zugangs-URL aus.

Zudem bereitet Kali den Umstieg auf das moderne, strukturierte DEB822-Format für APT-Quellen vor. Neu installierte Systeme nutzen standardmäßig das neue Format in /etc/apt/sources.list.d/kali.sources, um künftigen Warnmeldungen des Paketmanagers zuvorzukommen.

Kernel & Desktops

Unter der Haube verrichtet standardmäßig der Linux-Kernel 6.19 seine Arbeit. An der Oberfläche stehen Anwendern die brandneuen Desktop-Umgebungen GNOME 50 (mit optimierter Speicherverwaltung und beschleunigtem Dateimanager) sowie KDE Plasma 6.6 (inklusive verbesserter Barrierefreiheit und On-Screen-Keyboards für Touch-Geräte) zur Verfügung.

Wichtiger Upgrade-Hinweis: Nach dem Einspielen des Updates über apt full-upgrade wird aufgrund von Aktualisierungen am Richtlinien-Daemon (polkitd) ein sofortiger Systemneustart empfohlen, da der Aufruf von GUI-Programmen mit administrativen Rechten sonst temporär fehlschlagen kann.

Zum offiziellen Changelog: Kali Linux 2026.2 Release Notes

CVE-2026-46331: „pedit COW“ erlaubt unprivilegierten lokalen Angreifern Root-Zugriff unter Linux

Kaum ist die Aufregung um vergangene Kernel-Lücken verflogen, brennt es im Linux-Ökosystem an einer neuen Stelle. Unter der Kennung CVE-2026-46331 wurde eine Schwachstelle im Traffic-Control-Subsystem (net/sched) des Linux-Kernels klassifiziert. Die Lücke, die in Fachkreisen den Namen „pedit COW“ erhalten hat, ermöglicht eine lokale Rechteausweitung (Local Privilege Escalation – LPE) bis hin zu uneingeschränkten Root-Rechten. Ein öffentlicher Exploit beweist, wie gefährlich die Situation für Shared-Hosting-Umgebungen und Enterprise-Server ist.

Funktionsweise: Cache-Poisoning statt Festplatten-Hack

Der Fehler liegt in der Funktion tcf_pedit_act(), welche für das Editieren von Paket-Headern im laufenden Netzwerkverkehr zuständig ist. Das System berechnet den Copy-on-Write-Bereich (COW) vor der Verarbeitung der Editierungsschlüssel. Da hierbei jedoch die dynamischen Header-Offsets nicht korrekt berücksichtigt werden, kommt es zu einem sogenannten Partial-COW-Fehler.

Das Resultat ist fatal: Ein Angreifer kann über manipulierte Netzwerkregeln einen Out-of-Bounds-Schreibzugriff provozieren. Dieser Schreibbefehl landet im freigegebenen Page-Cache des Kernels. Der Exploit zielt dabei gezielt auf im Arbeitsspeicher gecachte System-Binaries (wie /bin/su) ab, überschreibt diese im RAM mit einem Payload und führt sie aus. Da die eigentliche Datei auf der Festplatte unverändert bleibt, versagen gängige Sicherheitsmonitore, während der Angreifer bereits eine Root-Shell öffnet.

Betroffene Systeme und Bedingungen

Red Hat listet die Versionen RHEL 8, 9 und 10 als verwundbar. Auch Ubuntu (von 18.04 bis 26.04) sowie die aktuellen Debian-Zweige (Bullseye, Bookworm, Trixie) tragen den fehlerhaften Code in ihren Standard-Kerneln.

Damit ein unprivilegierter lokaler Nutzer den Exploit erfolgreich ausführen kann, müssen zwei Bedingungen erfüllt sein:

  1. Das Kernel-Modul act_pedit ist aktiv oder kann automatisch nachgeladen werden.

  2. Unprivilegierte Benutzer-Namensräume (unprivileged user namespaces) sind im System erlaubt. Diese gewähren dem Angreifer die nötigen virtuellen Netzwerk-Rechte (CAP_NET_ADMIN), um die tc-Regeln überhaupt triggern zu können.

Schnelle Gegenmaßnahmen für Administratoren

Die sicherste Methode ist das unverzügliche Einspielen der bereitstehenden Kernel-Updates der jeweiligen Distributionen und ein anschließender Reboot. Sollte ein Wartungsfenster kurzfristig nicht möglich sein, helfen folgende temporäre Sicherheitsvorkehrungen:

  • Einschränkung von User Namespaces: Das Deaktivieren unpriviligierter Namensräume entzieht dem Angreifer die administrative Netzwerk-Basis im User-Space. Bei sysctl-basierten Systemen hilft:

    Bash

    sysctl -w kernel.unprivileged_userns_clone=0
    
  • Modul-Blacklisting: Verhindern Sie das automatische Laden des betroffenen Netzwerkmoduls über die Modprobe-Konfiguration (blacklist act_pedit).

Aufgrund der Verfügbarkeit eines schlüsselfertigen Angriffsskripts wird die Dringlichkeit von IT-Sicherheitsbehörden als hoch eingestuft.