Zum Hauptinhalt springen
bb-applications - Zur Startseite
Alle Artikel
  • sicherheit
  • linux
  • ki
  • copy fail

Jetzt auch noch Linux

CVE-2026-31431, Spitzname "Copy Fail": Eine fast neun Jahre alte Lücke im Linux-Kernel, gefunden in einer Stunde von einem KI-gestützten Auditing-Tool. 732 Byte Python reichen für Root auf nahezu jeder Distribution.

Fireship hat heute ein kurzes Video dazu rausgehauen, und danach musste ich das einfach etwas weiter recherchieren und aufschreiben. Wer Fireship kennt, weiß: wenn der sich die Zeit nimmt, ist es ernst.

Und ja, die KI war mal wieder dabei. Diesmal aber auf der Seite der Guten. Fast.

Was ist passiert?

CVE-2026-31431, Spitzname "Copy Fail". Der Fehler steckt im kryptografischen Subsystem des Linux-Kernels, genauer in algif_aead, und wurde durch eine Code-Änderung im August 2017 eingeführt. Fast neun Jahre lang hat ihn niemand gefunden. Der Kernel-Code wurde millionenfach gelesen, auditiert, begutachtet. Nichts.

Dann kam das Sicherheitsunternehmen Theori mit seinem KI-gestützten Auditing-Tool Xint Code, scannte das komplette Krypto-Subsystem des Kernels, und nach einer Stunde lag der Fund auf dem Tisch. Neun Jahre gegen sechzig Minuten. Ich sag's nur.

Wichtig zur Einordnung: Den initialen Hinweis, dass splice() Page-Cache-Seiten ins Krypto-Subsystem schieben kann, lieferte Forscher Taeyang Lee. Die KI hat dann das gesamte crypto/-Verzeichnis systematisch abgesucht und "Copy Fail" als schwersten Fund markiert. Mensch gibt Richtung vor, KI findet die Nadel im Heuhaufen.

Technisch, kurz

Ein unprivilegierter Nutzer kann über die Kombination aus AF_ALG-Socket, splice() und dem AEAD-Template authencesn kontrolliert vier Bytes in den Page Cache schreiben. Der Page Cache ist der Speicherbereich, in dem der Kernel Kopien laufender Programme vorhält. Wenn man dort Bytes in /usr/bin/su oder /usr/bin/sudo hineinschreiben kann, hat man de facto Root.

732 Byte Python. Kein Passwort, keine Race Condition, kein Glück. Deterministisch und portabel auf Ubuntu, RHEL, SUSE und Amazon Linux.

Wen trifft es

Besonders fein ist die Lücke für alle, die Systeme mit mehreren Nutzern betreiben:

  • Multi-Tenant-Server / Jump-Hosts: Jeder unprivilegierte Account kann das gesamte System übernehmen
  • Docker / Kubernetes: Ein kompromittierter Container kann auf den Host ausbrechen
  • CI/CD-Runner: Code aus einem beliebigen Pull Request kann die Maschine rooten
  • Cloud-Instanzen: Ebenfalls betroffen, da sie auf Standard-Kerneln laufen
  • Desktop-Systeme: Trifft es auch, aber da ist das Risiko lokal begrenzt. Falls jemand physisch an deinen Rechner kommt, hast du sowieso schon ein anderes Problem.

Was zu tun ist

Theori hat den Fund am 23. März dem Linux-Kernel-Security-Team gemeldet, innerhalb einer Woche lagen erste Patches vor. Ende April wurden technische Details und der PoC-Exploit veröffentlicht. Debian, Ubuntu, RHEL und SUSE haben reagiert oder reagieren gerade. Auch CERT-EU hat eine Warnung rausgegeben.

Bis der gepatchte Kernel auf dem eigenen System angekommen ist: AF_ALG deaktivieren. Anleitung unter copy.fail/#mitigation.

Danach: patchen, rebooten, weitermachen.

Die KI findet also jetzt neun Jahre alte Kernel-Bugs in einer Stunde. Schön, dass sie uns wenigstens Bescheid gegeben hat.

Und bevor jetzt jemand entspannt aufatmet: Anthropic arbeitet gerade an ihrem nächsten großen Modell namens "Mythos". Was das dann in Sachen Security-Research leistet, darf man sich in Ruhe ausmalen.

Beil zum Kappen der Internetverbindung schon mal neben den Server legen. Nur als Vorsichtsmaßnahme. Rein prophylaktisch.