Blog

Sicherheitswarnung: CVE-2026-31431 – Schwachstelle in Linux

Während die KI halluziniert, machen Menschen Fehler. In der IT ist es nicht anders. Eine seit Jahren existierende aber gerade bekannt gewordene Lücke in Kernels algif_aead (kryptographisches Interface) ermöglicht den lokal angemeldeten Benutzern, die Rechte des Administrators zu erlangen. Nun soll es uns darum gehen, den Schaden zu minimieren oder gar zu verhindern. Worum geht’s?

Die kritische Sicherheitslücke CVE-2026-31431 – im Internet auf den Namen „Copy Fail“ getauft – (Score: 7.8, Risikostufe: 5/hoch), die zahlreiche Linux-Distributionen (wie z.B. RHEL 8-9) betrifft, liegt im kryptografischen Template „authencesn“ und der Verarbeitung im Kernel. Sie ermöglich nach aktuellem Forschungsstand die Manipulation von SetUID und damit Ausführbarkeit beliebiger binärer Datei als Administrator „root“

Risiken für Unternehmensumgebungen

  • Erlangung von Root-Rechten auf betroffenen Servern
  • Manipulation von Daten und Datenflüssen
  • Kompromittierung weiterer Systeme über kompromittierte Linux-Server als Pivot-Point

Kreis der Betroffenen

Unternehmen mit allen gängigen Linux-Betriebssystemen, die eine Anmeldung der Benutzer auf den Servern erlauben oder nutzen, sollten aufmerksam werden. Es geht hier aber nicht um Anmeldung an einem Webdienst oder in einer Datenbank, sondern um – wenn auch nur mittelbare – Anmeldung in Linux-Betriebssystem.

Herausforderung ACFS

Wir warten auf die Herausgabe des neuen Kernels und dazu passenden Pakets mit Treibern für ACFS. Dieser wir nur in Umgebungen wie SE HA und RAC verwendet. Der neue Kernel und die ACFS-Treiber müssen zueinander kompatibel sein. Dies macht die Lage etwas komplizierter. Da die Veröffentlichung der Schwachstelle etwas holprig verlief, liefern die Linux-Distributoren jetzt erst entsprechende Pakete aus.

Sofortmaßnahmen

  • Patch-Management: wenn Sie nicht einschätzen können, ob Ihre Server betroffen sind, melden Sie sich per E-Mail an der vereinbaren Adresse des Wartungsteams.
  • Downtime: Wenn Sie keine hoch verfügbaren Installationen haben und betroffen sind, planen Sie ein Downtime für den Neustart des Servers ein.
  • Achten Sie auf E-Mails unserer Wartungsteams – eine Info-Kampagne ist bereits in Planung.
  • Auf der Webseite der Entdecker der Schwachstelle wird eine temporäre Lösung vorgestellt, die aber auf jedem System einzeln auf mögliche Auswirkungen geprüft werden muss.

Was Sie meist selbst schon tun können

Installieren Sie auch in anderen betroffenen, nicht von uns gepflegten Maschinen, Linux-Kernel-Updates – vor allem in Linux-Basierten Hypervisoren und VMs.

Quellen:

https://access.redhat.com/security/cve/cve-2026-31431
https://www.golem.de/news/seit-2017-ausnutzbar-gefaehrliche-root-luecke-im-linux-kernel-entdeckt-2604-208181.html

Schlagwörter: ,