Copy Fail: Kritische Linux-Sicherheitslücke ermöglicht Root-Zugriff

,

Copy Fail (CVE-2026-31431): Die „perfekte“ Linux-Root-Lücke erklärt

Am 29. April 2026 veröffentlichten Forscher von Theori Details zu einer lokalen Privilegieneskalation (LPE), die als eine der weitreichendsten der letzten Jahre gilt. Unter dem Namen „Copy Fail“ wird ein Logikfehler beschrieben, der es einem unprivilegierten Benutzer ermöglicht, innerhalb von Sekunden volle Root-Rechte zu übernehmen.

Der technische Hintergrund

Die Wurzel des Übels liegt in einer Performance-Optimierung aus dem Jahr 2017 (Kernel 4.14). Um AEAD-Verschlüsselungsoperationen zu beschleunigen, führte der Kernel ein „In-Place“-Verfahren ein, bei dem Quell- und Zielpuffer denselben Speicherbereich nutzen können.

Durch eine geschickte Kombination der Systemaufrufe socket(), splice() und sendmsg() können Angreifer den Kernel dazu bringen, schreibgeschützte Seiten aus dem Page Cache (z. B. von /usr/bin/su oder /etc/passwd) in einen beschreibbaren Puffer zu mappen. Das Ergebnis: Vier kontrollierte Bytes werden direkt in den Arbeitsspeicher der Zieldatei geschrieben.

Warum „Copy Fail“ anders ist

Während Exploits wie Dirty COW oft instabil waren oder das System zum Absturz bringen konnten, arbeitet Copy Fail deterministisch.

  • Portabilität: Ein einziger 732-Byte-Python-Script-Exploit funktioniert auf allen Architekturen und Distributionen ohne Neukompilierung.

  • Stealth-Faktor: Die Korruption findet nur im RAM statt. Nach einem Neustart ist das System wieder „sauber“, was die forensische Analyse massiv erschwert.

  • Container-Escape: In Cloud-Umgebungen ist die Lücke besonders brisant, da der Page Cache über Container-Grenzen hinweg geteilt wird. Ein kompromittierter Container kann so den gesamten Host übernehmen.

Handlungsempfehlungen für Administratoren

Die Lücke wurde bereits im Upstream-Kernel geschlossen (Fixes in 7.0, 6.19.12, 6.18.22 und entsprechenden LTS-Backports).

Sofortmaßnahmen:

  • Inventur: Prüfe alle Kernel-Versionen (Befehl: uname -r).

  • Patching: Rollout der Kernel-Updates und anschließender Reboot.

  • Interims-Lösung: Wenn kein Patch möglich ist, deaktiviere das betroffene Modul:

    echo "blacklist algif_aead" > /etc/modprobe.d/copyfail-fix.conf.