"Copy Fail": Zero-Day-Lücke bedroht fast alle Linux-Distros seit 2017

Eine schwerwiegende Sicherheitslücke im Linux-Kernel sorgt derzeit für Aufsehen: Die als "Copy Fail" bezeichnete Schwachstelle ermöglicht es lokalen Nutzern ohne besondere Rechte, vollständige Administratorrechte (Root-Zugriff) zu erlangen.

Christian Kahle, 30.04.2026 13:44 Uhr

Sicherheit, Sicherheitslücke, Hacker, Security, Angriff, Hack, Netzwerk, Linux, Kriminalität, Server, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Ausfall, Internetkriminalität, System, Darknet, Hacker Angriff, Ddos, Hacker Angriffe, Attack, Crash, Ransom, Error, Gehackt, Unix, Administrator, Serverfarm, Admin, Serverrack, Webserver, Serverausfall, Rack, Server Manager

Kleines Skript reicht aus

Von dem Problem sind nahezu alle großen Linux-Distributionen betroffen, die seit 2017 veröffentlicht wurden. Die unter der Kennung CVE-2026-31431 geführte Lücke wurde vom Sicherheitsforscher Taeyang Lee entdeckt und anschließend von einem Forschungsteam zu einem funktionierenden Angriff weiterentwickelt. Besonders brisant ist, dass der Exploit vergleichsweise einfach umzusetzen ist: Ein lediglich 732 Byte großes Python-Skript reicht aus, um auf unterschiedlichen Systemen zuverlässig Root-Zugriff zu erhalten.

Im Kern handelt es sich um einen logischen Fehler innerhalb einer kryptografischen Komponente des Linux-Kernels. Dieser kann über eine bestimmte Schnittstelle (AF_ALG) in Kombination mit einem Systemaufruf ausgenutzt werden. Anders als frühere bekannte Linux-Sicherheitslücken erfordert "Copy Fail" weder zeitkritische Angriffe noch speziell angepasste Programme.

Der Angriff zielt auf den Page Cache ab, also den im Arbeitsspeicher gehaltenen Teil von Dateien. Durch eine gezielte Manipulation können Angreifer Inhalte im Speicher verändern, ohne dass diese Änderungen auf die Festplatte geschrieben werden. Dadurch bleiben herkömmliche Integritätsprüfungen wirkungslos. In der Folge lässt sich beispielsweise ein Systemprogramm manipulieren und mit erweiterten Rechten ausführen.

Patches verfügbar

Besonders kritisch ist zudem, dass die Schwachstelle auch in Container-Umgebungen wie Kubernetes ausgenutzt werden kann. Da sich mehrere Container denselben Speicherbereich teilen, könnten Angreifer aus einem kompromittierten Container heraus andere Bereiche des Systems beeinflussen.

Die Ursache der Lücke geht auf mehrere Änderungen im Kernel-Code zurück, die über Jahre hinweg unabhängig voneinander eingeführt wurden und erst in ihrer Kombination das Problem ermöglichten. Inzwischen wurde ein Sicherheitsupdate veröffentlicht, das die fehlerhafte Funktion korrigiert. Administratoren wird dringend empfohlen, die bereitgestellten Kernel-Updates umgehend zu installieren. Bis dahin kann als Übergangslösung das Kernel-Modul "algif_aead" deaktiviert werden, um die Angriffsfläche zu reduzieren.

Zusammenfassung

"Copy Fail" ist eine Zero-Day-Lücke im Linux-Kernel seit 2017
Lokale Nutzer können ohne Adminrechte Root-Zugriff erlangen
Betroffen sind nahezu alle großen Linux-Distributionen seit 2017
Ein nur 732 Byte großes Python-Skript reicht als Exploit aus
Die Schwachstelle liegt in einer kryptografischen Kernel-Komponente
Traditionelle Integritätsprüfungen bleiben gegen den Angriff wirkungslos
Auch Container-Umgebungen wie Kubernetes sind von der Lücke betroffen
Mehrere Kernel-Codeänderungen über Jahre hinweg schufen die Lücke
Das Sicherheitsupdate korrigiert die fehlerhafte Funktion des Kernels
Als Übergangslösung kann das Kernel-Modul "algif_aead" deaktiviert werden

Siehe auch:

Thema:

Sicherheitslücken

Kommentieren0

Hinweis einsenden

Weitere Nachrichten zum Thema Dirty Frag: Zweite gravierende Zero-Day-Lücke bedroht Linux-SystemeLinux unter Generalverdacht: Deutsche Bahn blockt Webseiten-ZugriffISDN, Amateurfunk und mehr: Linux verliert jetzt viele alte ZöpfePack2TheRoot: Kritische Root-Lücke in Linux-PackageKit - Fix verfügbarFramework Laptop 13 Pro soll das "MacBook für Linux-User" sein