Sicherheitsinfo: Schwachstelle CVE-2026-31431 („Copy Fail“)

Die Ende April 2026 veröffentlichte Schwachstelle „copy fail“ (CVE-2026-31431) ist eine Schwachstelle im Crypto-Subsystem des Linux Kernels.

Betroffen sind alle gängigen Linux Distributionen seit 2017.

Mittels eines 732 Byte grossen Python Skripts wird der Page Cache eines setuid Binaries editiert.

Auf diese Weise könnten unprivilegierte Benutzer root Rechte erlangen.

Der Kernel markiert diese Page nicht als dirty for writeback. Die entsprechende Datei auf Disk bleibt somit unverändert.

Da diese Veränderung ausschliesslich im Memory stattfindet, bemerken on-disk checksum basierte Vergleichs-Tools diese Änderung nicht.

Obwohl diese Schwachstelle nicht remote ausgenutzt werden kann, stellt sie dennoch ein erhebliches Risiko dar.

Das betroffene Modul bzw. der verwendete Algorithmus kann relativ einfach im Kernel deaktiviert/blockiert werden.

Auf Linux Installationen mit aktiviertem SELinux im enforcing-Modus wird das Ausnutzen dieser Schwachstelle verhindert.

Diese Schwachstelle ist Container-übergreifend, da der Page Cache auf dem gesamten Host gemeinsam genutzt wird.

Mit grossem Dank an Michael von Byteworks für’s Korrekturlesen und den Input!