CVE-2026-46331: Linux-Kernel-Lücke pedit COW gibt Root-Rechte
CVE-2026-46331: „pedit COW“ erlaubt unprivilegierten lokalen Angreifern Root-Zugriff unter Linux
Kaum ist die Aufregung um vergangene Kernel-Lücken verflogen, brennt es im Linux-Ökosystem an einer neuen Stelle. Unter der Kennung CVE-2026-46331 wurde eine Schwachstelle im Traffic-Control-Subsystem (net/sched) des Linux-Kernels klassifiziert. Die Lücke, die in Fachkreisen den Namen „pedit COW“ erhalten hat, ermöglicht eine lokale Rechteausweitung (Local Privilege Escalation – LPE) bis hin zu uneingeschränkten Root-Rechten. Ein öffentlicher Exploit beweist, wie gefährlich die Situation für Shared-Hosting-Umgebungen und Enterprise-Server ist.
Funktionsweise: Cache-Poisoning statt Festplatten-Hack
Der Fehler liegt in der Funktion tcf_pedit_act(), welche für das Editieren von Paket-Headern im laufenden Netzwerkverkehr zuständig ist. Das System berechnet den Copy-on-Write-Bereich (COW) vor der Verarbeitung der Editierungsschlüssel. Da hierbei jedoch die dynamischen Header-Offsets nicht korrekt berücksichtigt werden, kommt es zu einem sogenannten Partial-COW-Fehler.
Das Resultat ist fatal: Ein Angreifer kann über manipulierte Netzwerkregeln einen Out-of-Bounds-Schreibzugriff provozieren. Dieser Schreibbefehl landet im freigegebenen Page-Cache des Kernels. Der Exploit zielt dabei gezielt auf im Arbeitsspeicher gecachte System-Binaries (wie /bin/su) ab, überschreibt diese im RAM mit einem Payload und führt sie aus. Da die eigentliche Datei auf der Festplatte unverändert bleibt, versagen gängige Sicherheitsmonitore, während der Angreifer bereits eine Root-Shell öffnet.
Betroffene Systeme und Bedingungen
Red Hat listet die Versionen RHEL 8, 9 und 10 als verwundbar. Auch Ubuntu (von 18.04 bis 26.04) sowie die aktuellen Debian-Zweige (Bullseye, Bookworm, Trixie) tragen den fehlerhaften Code in ihren Standard-Kerneln.
Damit ein unprivilegierter lokaler Nutzer den Exploit erfolgreich ausführen kann, müssen zwei Bedingungen erfüllt sein:
-
Das Kernel-Modul
act_peditist aktiv oder kann automatisch nachgeladen werden. -
Unprivilegierte Benutzer-Namensräume (
unprivileged user namespaces) sind im System erlaubt. Diese gewähren dem Angreifer die nötigen virtuellen Netzwerk-Rechte (CAP_NET_ADMIN), um dietc-Regeln überhaupt triggern zu können.
Schnelle Gegenmaßnahmen für Administratoren
Die sicherste Methode ist das unverzügliche Einspielen der bereitstehenden Kernel-Updates der jeweiligen Distributionen und ein anschließender Reboot. Sollte ein Wartungsfenster kurzfristig nicht möglich sein, helfen folgende temporäre Sicherheitsvorkehrungen:
-
Einschränkung von User Namespaces: Das Deaktivieren unpriviligierter Namensräume entzieht dem Angreifer die administrative Netzwerk-Basis im User-Space. Bei sysctl-basierten Systemen hilft:
Bashsysctl -w kernel.unprivileged_userns_clone=0 -
Modul-Blacklisting: Verhindern Sie das automatische Laden des betroffenen Netzwerkmoduls über die Modprobe-Konfiguration (
blacklist act_pedit).
Aufgrund der Verfügbarkeit eines schlüsselfertigen Angriffsskripts wird die Dringlichkeit von IT-Sicherheitsbehörden als hoch eingestuft.

