Mit CVE-2026-31431 wurde Ende April 2026 eine sicherheitskritische Schwachstelle im Linux-Kernel öffentlich bekannt. Die Lücke („CopyFail“) betrifft die Speicherverarbeitung im Kernel und kann unter bestimmten Umständen dazu führen, dass Benutzer Root-Rechte erhalten, auch wenn nur Zugriff auf einen User ohne erweiterte Berechtigungen besteht. Das betrifft auch SSH-Sitzungen. Zum Zeitpunkt des Bekanntwerdens der Schwachstelle waren alle gängigen Linux-Distributionen betroffen.

Betroffene Systeme

• Linux-Systeme mit verwundbaren Kernel-Versionen

Da die konkrete Betroffenheit stark von Kernel-Version und Distribution abhängt, sollten Administratoren die jeweiligen Security-Advisories prüfen.

Nicht betroffene Systeme

Auf Systemen mit aktivem SELinux im enforcing-Modus wird das Ausnutzen der Schwachstelle verhindert. Auch solche Systeme sollten aber aktualisiert werden, sobald Updates bereitstehen.

Risiko

• Lokale Privilege Escalation möglich, sofern Zugriff auf einen beliebigen lokalen Account besteht (auch per SSH!)
• Potenzielle Systemkompromittierung bei erfolgreicher Ausnutzung
• Besonders kritisch auf Multi-User-Systemen oder Systemen mit untrusted Code-Ausführung

Maßnahmen

• Aktualisieren Sie den Kernel zeitnah, sobald Sicherheitsupdates verfügbar sind. Für einzelne Distributionen wie Debian ist das bereits der Fall.
• Falls noch kein aktualisierter Kernel bereitgestellt wird, erwägen Sie das Kernelmodul 
  algif_aead temporär zu deaktivieren. Dazu ist ein Neustart des Systems erforderlich. Beachten Sie hierzu die empfohlenen Mitigationsmaßnahmen Ihrer Linux-Distribution (siehe unten für Links).
• Falls keine der vorher genannten Mitigationsmaßnahmen für Ihr System umsetzbar sind:
  • Zugriff auf Systeme einschränken (insbesondere SSH-Zugänge)
  • Monitoring auf ungewöhnliche Aktivitäten verstärken

Ein Neustart des Systems ist nach einem Kernel-Update erforderlich.

Informationen der Distributionen

Bitte prüfen Sie die offiziellen Hinweise Ihrer Distribution:

• Debian: https://security-tracker.debian.org/tracker/CVE-2026-31431
• Ubuntu: https://ubuntu.com/blog/copy-fail-vulnerability-fixes-available
• Red Hat / RHEL: https://access.redhat.com/security/cve/cve-2026-31431
• Suse: https://www.suse.com/security/cve/CVE-2026-31431.html
• Arch: https://security.archlinux.org/CVE-2026-31431

Weitere Informationen

• CVE-Eintrag: https://cve.org/CVERecord?id=CVE-2026-31431
• https://copy.fail/