Seit 2017 ausnutzbar: Gefährliche Root-Lücke im Linux-Kernel entdeckt
Sicherheitsforscher von Theori haben eine Sicherheitslücke im Linux-Kernel aufgedeckt, die es Angreifern ermöglicht, sich auf unzähligen Systemen Root-Rechte zu verschaffen. Betroffen sind laut Informationsseite der Forscher(öffnet im neuen Fenster) alle gängigen Linux-Distributionen, die seit 2017 veröffentlicht wurden. Da der nötige Exploit-Code bereits öffentlich verfügbar ist, sollten Linux-Nutzer ihre Systeme so bald wie möglich patchen.
Die besagte Sicherheitslücke trägt den Namen Copy Fail, ist als CVE-2026-31431(öffnet im neuen Fenster) registriert und erreicht einen hohen Schweregrad (CVSS: 7,8). Nach Angaben der Theori-Forscher ermöglicht sie es einem Angreifer mit einfachen Benutzerrechten, "vier bestimmte Bytes in den Page-Cache einer beliebigen lesbaren Datei auf einem Linux-System zu schreiben".
Bei entsprechender Anwendung lässt sich damit eine Rechteausweitung auf Root erwirken. Die Forscher demonstrieren dies am Beispiel eines auf Github veröffentlichten Exploits(öffnet im neuen Fenster). Dabei handelt es sich um ein kleines Python-Skript mit einer Größe von gerade einmal 732 Bytes, welches für die Rechteausweitung gezielt eine Setuid-Binärdatei manipuliert.
Alle großen Distributionen betroffen
Wie der Exploit im Detail funktioniert, schildern die Forscher in einem separaten Blogbeitrag(öffnet im neuen Fenster). Demnach basiert Copy Fail auf einem Logikfehler im kryptografischen Template "authencesn" sowie der Art und Weise, wie der Linux-Kernel den Page-Cache beschädigter Dateien verarbeitet. Die Ausnutzung funktioniert wohl zuverlässig und erfordert weder das Gewinnen einer Race Condition noch das Warten auf irgendein Event.
Getestet haben die Forscher ihren Exploit an ausgewählten Versionen von Ubuntu(öffnet im neuen Fenster), Amazon Linux(öffnet im neuen Fenster), Red Hat Enterprise Linux(öffnet im neuen Fenster) (RHEL) und Suse(öffnet im neuen Fenster). Da die Lücke in allen seit 2017 veröffentlichten Versionen des Linux-Kernels klafft, soll der Exploit aber auch bei anderen gängigen Distributionen wie beispielsweise Debian(öffnet im neuen Fenster) funktionieren, ohne dass dafür irgendwelche Anpassungen am Skript nötig wären.
Auch Container-Ausbruch möglich
Entdeckt wurde Copy Fail laut Theori unter Einsatz einer KI. Die Forscher haben die Schwachstelle nach eigenen Angaben am 23. März an das Linux-Kernel-Sicherheitsteam gemeldet. Daraufhin wurde ein Patch entwickelt, der jetzt nach und nach Einzug in die betroffenen Linux-Distributionen finden und an Nutzersysteme weitergereicht werden soll. Viele Versionen der genannten Distributionen sind jedoch aktuell noch als anfällig markiert.
Copy Fail soll sich auch ausnutzen lassen, um aus Kubernetes-Containern auszubrechen. Details dazu wollen die Sicherheitsforscher allerdings erst zu einem späteren Zeitpunkt veröffentlichen.
Erst kürzlich hatte die Telekom eine ähnlich gefährliche und mit KI aufgespürte Sicherheitslücke aufgedeckt, die ebenfalls zahlreiche Linux-Systeme betrifft. In diesem Fall liegt die Ursache zwar nicht im Linux-Kernel, dafür aber in einem Tool namens Packagekit, das standardmäßig in mehreren großen Distributionen enthalten ist.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.