Eine kritische Sicherheitslücke bedroht Millionen von Linux-Systemen: So sichern Sie auch Ihr System

Ein Fehler rief an Kopierfehler Seit neun Jahren ermöglicht diese Sicherheitslücke unzähligen Linux-Rechnern Root-Zugriff! Die Entwickler veröffentlichen zwar Notfall-Patches, doch jeder verpasste Neustart lässt die Schwachstelle ungeschützt. Wer diesen Patch nicht installiert, übergibt seinen Server quasi einem Scriptkiddie.

Die unter CVE-2026-31431 bekannte Schwachstelle betrifft Kernel-Versionen von 4.14 bis 6.19.12 – also nahezu alle produktiv eingesetzten Systeme. Einfache Ausnutzung, hohe Erfolgsquote, keine Race Conditions … die ideale Kombination für Hacker. Die absolute Priorität bleibt daher die aktualisieren unmittelbar vom Zellkern.

Kopierfehler: a kritische Schwachstelle der mit der Erinnerung spielt

Der Angriff kapert die AF_ALG-Schnittstelle und den splice()-Aufruf, um vier Bytes im Kernel-Seitencache zu überschreiben. Diese vier winzigen Bytes genügen, um eine in den RAM geladene Setuid-Binärdatei zu manipulieren und ohne Vorwarnung Root-Rechte zu erlangen. Es gibt keinen Virenschutz; das Problem liegt im Kernel verborgen: Nur ein Patch und ein Neustart können den Schaden stoppen.

Ein Erdbeben für die Linux-Sicherheit

Anders als bei herkömmlichen Speicherschwachstellen tritt Copy Fail nicht zufällig auf: Der Exploit muss nicht wiederholt ausgeführt werden; eine einzige korrekte Abfrage genügt. Sowohl gängige Distributionen als auch eingebettete Systeme sind gleichermaßen anfällig, da das angegriffene kryptografische Modul fast immer standardmäßig kompiliert wird. Der Mythos eines „unverwundbaren“ Linux-Systems ist damit endgültig widerlegt.

Erkennt innerhalb von dreißig Sekunden, ob das System betroffen ist.

Laufen: grep -qE '^algif_aead ' /proc/modules && echo 'Modul geladen'Erscheint diese Meldung, ist der Kernel angreifbar. Überprüfen Sie anschließend die Kernel-Version: Alle Versionen vor 6.19.13 sind weiterhin gefährdet. Das Vorhandensein des Moduls in Kombination mit einem veralteten Kernel stellt einen absoluten Notfall dar.

Patch installieren, dann neu starten, Punkt!

Die Repositories von Ubuntu, Fedora, Debian, Arch und SUSE enthalten bereits die korrigierte Version. Laden Sie diese herunter, installieren Sie sie, starten Sie den Computer neu und führen Sie anschließend den vorherigen Befehl erneut aus, um zu überprüfen, ob „algif_aead“ nicht mehr aufgeführt ist. Ohne Neustart läuft der alte Kernel weiterhin, und die Rechteausweitung ist nach wie vor möglich.

Blockiere den Exploit, während du auf die Antwort wartest. aktualisieren

Neustart nicht möglich? Modul deaktivieren: echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif.conf && rmmod algif_aeadDie Maßnahme stoppt den Angriff, einige Kryptodienste werden jedoch beeinträchtigt sein: Es empfiehlt sich, das Wartungsfenster so früh wie möglich einzuplanen. Eine zu lange Anwendung der Notlösung ist, als würde man ein Pflaster auf eine Arterie kleben.

Zur Stärkung Firewall Und Schlüsselverwaltung

Ein gepatchter Kernel bietet keinen absoluten Schutz. Aktivieren Sie nftables, um administrative Ports zu isolieren, die FIDO2-Schlüsselauthentifizierung zu erzwingen und passwortgeschützten SSH-Zugriff zu unterbinden. Jede zusätzliche Barriere erschwert die Nachbearbeitungsphasen und verringert die Angriffsfläche.

Auf dem Weg zu a Computerschutz nachhaltig

Seit 2025 nutzen die meisten SecOps-Teams eBPF-Sonden zur Überwachung sensibler Systemaufrufe. Dazu wird eine Sonde angeschlossen und so konfiguriert, dass sie `splice()`-Aufrufe in AF_ALG protokolliert. In Verbindung mit einem SIEM-System wird eine Warnung in Echtzeit ausgelöst, sobald eine Setuid-Binärdatei überschrieben wird. Ziel ist der Übergang von reaktivem zu proaktivem Handeln. Angriffsprävention.

Fügen Sie abschließend den CERT-FR-RSS-Feed zu Ihrem Aggregator hinzu und aktivieren Sie die Benachrichtigungen für „CVE Linux Kernel“. Der Newsfeed informiert Sie über Sicherheitswarnungen, noch bevor diese in sozialen Medien geteilt werden. Daher ist es entscheidend, stets informiert zu sein. Sicherungssysteme dauerhaft.

Quelle: www.zdnet.fr