Eine schwere Linux Sicherheitslücke namens Copy Fail gefährdet viele Distributionen und kann lokalen Nutzern Root Rechte verschaffen. Die Schwachstelle wird als CVE 2026 31431 geführt und betrifft das Crypto Subsystem des Linux Kernels. Security Forscher von Theori/Xint fanden die Lücke mit Unterstützung eines KI Scans und veröffentlichten technische Details am 29. April 2026. Besonders kritisch ist der Fehler für Server, Kubernetes Nodes, CI/CD Runner, Multi User Systeme und Container Umgebungen. Für Desktop Nutzer ist das Risiko geringer, solange kein Angreifer lokalen Zugriff auf das System erhält.
Copy Fail betrifft viele Linux Kernel seit 2017
Copy Fail ist eine lokale Rechteausweitung im Linux Kernel. Ein nicht privilegierter Nutzer kann unter bestimmten Bedingungen Speicherinhalte im Page Cache manipulieren und dadurch Root Rechte erlangen. Das Problem liegt nicht in einer einzelnen Linux Distribution, sondern in Kernel Code, der seit 2017 in vielen Systemen enthalten ist.
Theori beschreibt die Lücke als besonders portabel. Die Forschenden testeten sie auf Ubuntu, Amazon Linux, RHEL und SUSE. CERT EU nennt auch Debian, Arch Linux, Fedora, Rocky Linux, AlmaLinux, Oracle Linux und Embedded Linux als grundsätzlich betroffene Familien, wenn sie Kernel aus dem betroffenen Zeitraum nutzen.
Der Hauptfix wurde bereits am 1. April 2026 in den Mainline Kernel aufgenommen. Das reicht aber nicht automatisch für alle Nutzer. Distributionen müssen den Patch in ihre eigenen Kernel Pakete übernehmen und ausliefern. AlmaLinux meldete am 1. Mai gepatchte Kernel in den Produktionsrepositories. Andere Anbieter veröffentlichten Patches oder Mitigations je nach Distribution und Kernelzweig.
| Bereich | Einordnung | Was Nutzer tun sollten |
|---|---|---|
| Linux Desktop | Risiko hängt von lokalem Zugriff ab | Kernel Updates einspielen |
| Linux Server | Kritisch bei Shell Zugriff, Hosting und mehreren Nutzern | Patch oder Mitigation priorisieren |
| Kubernetes Nodes | Besonders relevant wegen möglicher Container Grenze | Sofort patchen oder temporär mitigieren |
| CI/CD Runner | Kritisch bei untrusted Builds und externem Code | Runner isolieren und patchen |
| Multi User Systeme | Hohe Priorität wegen lokaler Nutzerkonten | Lokale Nutzerrechte prüfen |
| Container Hosts | Relevant, weil Page Cache systemweit geteilt wird | Container Hosts schnell aktualisieren |
Warum die Lücke schwer zu erkennen ist
Copy Fail ist nicht nur wegen der Root Rechte kritisch. Der Angriff verändert nach Angaben der Forschenden keine Datei dauerhaft auf der Festplatte. Stattdessen betrifft er den Page Cache im Speicher. Dadurch können klassische Integritätsprüfungen auf Dateisystemebene die Manipulation verpassen, weil die Datei auf dem Datenträger unverändert bleibt.
Das macht Copy Fail besonders unangenehm für Monitoring und Forensik. Tools, die nur Prüfsummen auf der Festplatte vergleichen, sehen nicht automatisch den veränderten Zustand im Speicher. Für Verteidiger bedeutet das: Patchen ist wichtiger als reine Erkennung. Wer auf Erkennung setzt, sollte Kernel Verhalten, verdächtige lokale Privilege Escalation Muster und ungewöhnliche Prozesse zusätzlich überwachen.
Die Lücke wurde mit Hilfe des KI Tools Xint Code entdeckt. Laut Theori begann die Suche aber mit einer menschlichen Hypothese zur Interaktion zwischen Kernel Crypto Code und Page Cache. Der KI Scan half anschließend dabei, verdächtige Codepfade schneller zu prüfen. Das ist ein wichtiger Punkt: KI ersetzte nicht die Sicherheitsforschung, beschleunigte aber die Analyse.
Was Administratoren jetzt tun sollten
Die wichtigste Maßnahme ist ein Kernel Update aus den Repositories der jeweiligen Distribution. Nach dem Update muss das System neu gestartet werden, damit der gepatchte Kernel aktiv läuft. Auf Servern mit Live Patching sollte geprüft werden, ob die jeweilige Live Patch Lösung CVE 2026 31431 bereits abdeckt.
- Kernel Paket aktualisieren: Distribution Updates prüfen und einspielen.
- Neustart einplanen: Der gepatchte Kernel schützt erst nach dem Boot.
- Aktiven Kernel prüfen: Nach dem Neustart die laufende Kernel Version kontrollieren.
- Server priorisieren: Kubernetes Nodes, CI/CD Runner und Multi Tenant Systeme zuerst patchen.
- Mitigation nutzen: Wenn kein Patch verfügbar ist, die vom Anbieter empfohlene temporäre Abschaltung des betroffenen Moduls prüfen.
- Lokalen Zugriff begrenzen: Shell Zugänge, Build Nutzer, Container Rechte und sudo Gruppen überprüfen.
Copy Fail zeigt erneut, dass lokale Kernel Lücken für Cloud und Container Umgebungen besonders gefährlich sind. Ein einzelner unprivilegierter Nutzer oder kompromittierter Container kann ausreichen, wenn ein System ungepatcht bleibt. Für private Linux Desktops ist die Lage weniger dramatisch, aber Updates bleiben auch dort die richtige Antwort. Wer eine Distribution nutzt, sollte jetzt die Sicherheitsmeldungen des eigenen Anbieters prüfen und den Kernel aktualisieren.