Six Eight Consulting
Navigation öffnen
Kontakt
Copy Fail CVE-2026-31431: abstrahierte Linux Page-Cache-Manipulation über AF_ALG und splice mit Root-Risiko
Blog

Copy Fail CVE-2026-31431: aktive Angriffe, Patch und Linux-Root-Lücke

Copy Fail CVE-2026-31431 wird aktiv ausgenutzt und gefährdet Linux-Server, CI-Runner und Kubernetes-Nodes. Patch-Status prüfen und AF_ALG mitigieren.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 11 Min. Lesezeit

Was jetzt zuerst tun?

  1. 1

    Kernel-Fix priorisieren

    Kernel-Pakete auf Vendor-Fix-Status prüfen und Wartungsfenster für Reboot oder Livepatching einplanen.

  2. 2

    Untrusted Workloads begrenzen

    Auf Hosts mit fremdem oder wenig vertrauenswürdigem Code AF_ALG per seccomp blockieren oder algif_aead temporär deaktivieren.

  3. 3

    Hochrisiko-Systeme zuerst behandeln

    Self-hosted CI-Runner, Kubernetes-Nodes, Shared-Hosts und Jump-Hosts vor weniger exponierten Single-Tenant-Systemen absichern.

  4. 4

    Laufenden Kernel verifizieren

    Nach Update oder Livepatch prüfen, ob der laufende Kernel wirklich gewechselt oder durch den Livepatch abgedeckt ist.

  5. 5

    Eskalationsspuren prüfen

    Auf vor dem Fix exponierten Runnern, Container-Nodes und Shared-Hosts nach lokalen Root-Eskalations- und Post-Exploitation-Spuren suchen.

  6. 6

    PoCs nicht auf Produktion ausführen

    Detectoren nur auf eigenen oder explizit freigegebenen Systemen verwenden; Exploits gehören nicht auf produktive Systeme.

Copy Fail (CVE-2026-31431) ist eine neue lokale Root-Schwachstelle im Linux-Kernel. Nach der öffentlichen Analyse von Theori/Xint Code entsteht der Fehler in algif_aead beziehungsweise der Krypto-Vorlage authencesn: Ein lokaler, unprivilegierter Prozess kann über AF_ALG und splice() einen kontrollierten 4-Byte-Schreibzugriff in den Page Cache auslösen.

Die wichtigste Einordnung: Copy Fail ist kein isolierter Bug in einem einzelnen Produkt. Die Forscher sprechen von Mainstream-Linux-Kerneln seit 2017; praktisch kann die Schwachstelle damit zahlreiche Server, Cloud-Instanzen, Container-Nodes, Build-Systeme und Shared-Hosting-Umgebungen betreffen. Die Demo-Section auf copy.fail zeigt denselben Exploit-Pfad über mehrere große Linux-Distributionen hinweg.

Genau deshalb kann die reine CVSS-Bewertung von 7.8 zu falscher Gelassenheit führen. Ja, der Angreifer braucht lokale Codeausführung. In der Praxis ist „lokal“ aber häufig bereits erreicht: durch einen Container, einen selbst gehosteten CI-Job, eine Web-RCE, ein kompromittiertes Paket oder gestohlene SSH-Zugangsdaten. Sobald ein solcher Startpunkt existiert, kann aus einem normalen Nutzerkontext unter ungünstigen Bedingungen Root werden.

Was seit der Veröffentlichung neu ist

Seit dem ersten Stand vom 30. April hat sich die operative Lage verändert. heise berichtet am 4. Mai 2026, dass CISA vor Missbrauch von Copy Fail in freier Wildbahn warnt. Microsoft Defender bewertet die Lücke außerdem als relevantes Risiko für Cloud-, CI/CD- und Kubernetes-Umgebungen, sieht PoC-nahe Testaktivitäten und verweist auf die Aufnahme in den CISA-KEV-Kontext. The Hacker News berichtet am 3. Mai 2026 ebenfalls über die KEV-Aufnahme und die daraus folgende Priorisierung für betroffene Umgebungen.

Für Admins ist das wichtiger als die abstrakte CVSS-Zahl: KEV, öffentliche PoCs und bestätigte Ausnutzung bedeuten, dass Copy Fail in Patch-Backlogs nicht mehr als „lokale Lücke irgendwann später“ behandelt werden sollte. Besonders kritisch bleiben Hosts, auf denen Angreifer realistisch lokalen Code platzieren können: selbst gehostete Runner, Kubernetes-Nodes, Shared-Hosting-Systeme, Jump-Hosts, Build-Server und Webserver nach einer ersten RCE. Für US-Bundesbehörden nennt die KEV-Berichterstattung eine Fix-Frist bis zum 15. Mai 2026; für andere Betreiber ist das zumindest ein brauchbares Priorisierungssignal.

Auch die Patch-Lage ist konkreter geworden. heise verweist auf verfügbare Kernel-Updates und Backports; Sysdig nennt als gefixte Upstream-Linien unter anderem 7.0, 6.19.12 und 6.18.22. Hosting-Ökosysteme wie cPanel und Plesk verweisen zugleich darauf, dass cPanel/WHM oder Plesk selbst nicht die verwundbare Komponente sind: Entscheidend ist der laufende Betriebssystem-Kernel. Nach Updates reicht deshalb kein Paketstatus in der Theorie; prüfen Sie nach Reboot oder Livepatch, ob der laufende Kernel wirklich abgedeckt ist.

Kurzfassung für Admins

Wichtigste Punkte

  • Impact: Ein lokaler Nutzer oder lokaler Prozess kann Root-Rechte erhalten, wenn der Kernel verwundbar ist.
  • Reichweite: kein Randfall, sondern ein breit relevantes Linux-Kernel-Thema; betroffene Kernel-Linien seit 2017 können in vielen produktiven Umgebungen im Einsatz sein.
  • Voraussetzung: lokale Codeausführung, erreichbares AF_ALG/algif_aead und ein Kernel ohne Fix.
  • CVSS-Falle: 7.8 klingt niedriger als „kritisch“, kann aber bei Multi-Tenant-Systemen, CI und Container-Plattformen das tatsächliche Betriebsrisiko unterschätzen.
  • Warum kritisch: Container und Nutzer teilen sich den Kernel; der Page Cache ist hostweit relevant. Dadurch wird eine lokale LPE schnell zu einem Mandanten- oder Node-Risiko.
  • Fix: Kernel-Update mit dem Rückbau der in-place-AEAD-Logik einspielen; bis dahin algif_aead deaktivieren oder AF_ALG für untrusted Workloads blockieren.
  • Neu seit 4. Mai: CISA-/KEV-Signal und gemeldete Ausnutzung beachten, Patch-Status gegen Vendor-Advisories prüfen und nach Update den laufenden Kernel verifizieren.

NVD führt für CVE-2026-31431 den CNA-Score von kernel.org mit CVSS 7.8 High und dem Vektor AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Canonical markiert die Ubuntu-Priorität als High und nennt als Begründung „trivial local privilege escalation“. Für die Priorisierung im Betrieb sollte der CVSS-Wert deshalb nicht isoliert betrachtet werden: Entscheidend ist, ob ein Host fremden Code ausführt, mehrere Nutzer oder Mandanten teilt oder nach einer ersten Kompromittierung als Sprungbrett dienen kann.

Was passiert technisch?

Die Kurzversion: splice() kann Page-Cache-Referenzen einer lesbaren Datei in den Linux-Krypto-Pfad liefern. Durch die in-place-Logik in algif_aead zeigen Quelle und Ziel der Operation auf dieselbe Scatterlist. Die Krypto-Vorlage authencesn führt dabei einen kleinen Scratch-Write aus. In der verwundbaren Kombination landet dieser Schreibzugriff nicht in einem harmlosen Zielpuffer, sondern in der Page-Cache-Kopie einer Datei.

Besonders tückisch ist: Die Datei auf der Platte muss dabei nicht verändert werden. Der manipulierte Zustand lebt im Page Cache, und genau diese In-Memory-Version wird von anderen Prozessen gelesen. Bei einem setuid-Binary oder einer für Login-Auflösung relevanten Datei kann daraus ein stabiler Privilegienwechsel entstehen. Die Copy-Fail-Seite beschreibt die Veränderung als nicht persistent über einen Reboot hinweg, aber der daraus entstehende Root-Kontext ist real.

Betroffenheit prüfen

Betroffen sind nach Angaben der Forscher grundsätzlich Kernel, die die 2017 eingeführte in-place-AEAD-Logik enthalten und den neuen Fix noch nicht tragen. Direkt getestet wurden Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 und SUSE 16; andere Distributionen mit entsprechenden Kernel-Linien müssen über den jeweiligen Vendor-Tracker bewertet werden. Sysdig konkretisiert die Upstream-Sicht und nennt 7.0, 6.19.12 und 6.18.22 als gefixte Linien; bei LTS- und Enterprise-Distributionen können dieselben Fixes aber in ältere Versionszweige zurückportiert sein.

Für Unternehmen heißt das: Nicht nur einzelne, sichtbar exponierte Server prüfen. Auch interne Linux-Systeme, Kubernetes-Nodes, Runner, Build-Hosts, Appliance-VMs, Entwickler-Jump-Hosts und kurzlebige Cloud-Instanzen gehören in die Abfrage. Bei einer breit wirksamen Kernel-Lücke entsteht das Risiko nicht nur durch die einzelne CVE-Zahl, sondern durch die Kombination aus großer Verbreitung und vielen Wegen, wie Angreifer heute lokalen Code auf Infrastruktur ausführen können.

Priorisierung nach Umgebung

UmgebungPrioritätWarum
Kubernetes, Container, SaaS-SandboxesSehr hochGemeinsamer Kernel und Page Cache; untrusted Code kann zum Node-Risiko werden.
Self-hosted CI-Runner, Build-ServerSehr hochPull Requests, Build-Skripte und Dependencies führen regelmäßig fremden oder nur teilweise geprüften Code aus.
Shared-Hosts, Jump-Hosts, Dev-ServerHochMehrere lokale Nutzer auf einem Kernel; ein einzelner Nutzerkontext kann als Startpunkt genügen.
Single-Tenant-ServerMittel bis hochRelevanter Eskalationsschritt nach Web-RCE, gestohlenen SSH-Zugängen oder kompromittiertem Supply-Chain-Code.

Ein sinnvoller erster Check ist kein Exploit, sondern Inventar: Kernel-Version, Distribution, Paketstatus, Workload-Typ und die Frage, ob untrusted Code auf dem Host läuft. Vendor-Tracker sind dabei wichtiger als reine Versionsvergleiche, weil Distributionen Kernel-Fixes häufig backporten.

bash 
uname -a
cat /etc/os-release
lsmod | grep -E '^algif_aead|^af_alg' || true
ss -xa | grep -i AF_ALG || true

# Danach: Vendor-Tracker und Paketstatus prüfen, nicht blind nach Kernelnummer entscheiden.
Schneller Inventar-Check ohne Exploit-Ausführung. Danach gegen Vendor-Tracker und Paketstatus bewerten.

Nach einem Update sollte die Prüfung ausdrücklich den laufenden Kernel erfassen. Bei klassischen Updates heißt das meist: Paket installieren, Host rebooten, uname -r prüfen und gegen Vendor-Advisory abgleichen. Bei Livepatching gilt dasselbe Prinzip: nicht nur den Update-Befehl ausführen, sondern die Abdeckung für CVE-2026-31431 nachweisen, etwa über die vom Anbieter vorgesehene Statusabfrage.

Sofortmaßnahmen

Die richtige dauerhafte Maßnahme ist ein Kernel-Update. Der Upstream-Fix entfernt die in-place-Komplexität in algif_aead und trennt Quelle und Ziel wieder so, dass Page-Cache-Seiten nicht in einer beschreibbaren Destination-Scatterlist landen. Praktisch heißt das: Vendor-Kernel installieren, rebooten oder einen Livepatch-Mechanismus nutzen, wenn Ihr Anbieter den Fix darüber bereitstellt.

Wenn Patching nicht sofort möglich ist, nennt die Disclosure als kurzfristige Mitigation das Deaktivieren von algif_aead. Für Container- und Sandbox-Umgebungen ist außerdem wichtig, die Erstellung von AF_ALG-Sockets per seccomp zu blockieren. Prüfen Sie vorher, ob eigene Anwendungen AF_ALG AEAD direkt verwenden; typische Standardpfade wie LUKS, SSH oder normale OpenSSL/GnuTLS-Nutzung laufen laut Copy-Fail-FAQ nicht über diesen User-Space-Zugang.

bash 
# Temporäre Mitigation, bis ein gepatchter Kernel aktiv ist:
printf 'install algif_aead /bin/false\n' | sudo tee /etc/modprobe.d/disable-algif-aead.conf
sudo rmmod algif_aead 2>/dev/null || true

# Anschließend: Workloads testen, Patch einspielen, Host rebooten oder livepatchen.
Temporäre Mitigation, bis ein gepatchter Kernel aktiv ist. Vorher prüfen, ob eigene Anwendungen AF_ALG AEAD direkt verwenden.

Warum Container und CI besonders kritisch sind

Container isolieren Prozesse, teilen sich aber den Kernel des Hosts. Wenn eine Schwachstelle auf Kernel-Ebene aus einem unprivilegierten Prozess heraus ausnutzbar ist, kann die Grenze zwischen Pod, Container und Node deutlich schwächer sein, als Anwendungsteams erwarten. Copy Fail ist deshalb weniger ein einzelnes Serverproblem als ein Plattformrisiko.

Für CI-Systeme gilt das in besonderem Maße: Build-Jobs führen absichtlich Code aus, dem man noch nicht vollständig vertraut. Ein kompromittiertes Paket, ein manipuliertes Pull-Request-Skript oder ein Test mit beliebigem Shell-Code kann aus einem normalen Runner-Nutzer einen Host-Root-Kontext machen. Wer selbst gehostete Runner betreibt, sollte sie kurzfristig als Hochrisiko-Assets behandeln: isolieren, nur kurzlebig verwenden, Secrets begrenzen und Kernel-Fixes priorisieren.

Einordnung des rootsecdev-Repositories

Das Drittanbieter-Repository rootsecdev/cve_2026_31431 ist kein offizielles Kernel- oder Distro-Advisory, aber für die Lagebewertung relevant: Es beschreibt ein Toolkit mit einem nicht-destruktiven Detector und einem LPE-PoC. Der Detector arbeitet laut README mit einer temporären Sentinel-Datei und berührt keine Systemdateien; der Exploit-Teil dagegen ist echte Privilege Escalation und gehört nicht auf produktive Systeme.

Für Verteidiger ist die Existenz solcher Repositories ein klares Signal: Die Schwachstelle ist nicht nur theoretisch nachvollziehbar, sondern praktisch testbar. Gleichzeitig sollte jedes Ergebnis gegen Vendor-Status und Kernel-Paketstand abgeglichen werden. Ein „nicht verwundbar“ aus einem Dritt-Detector ersetzt kein Patch-Management, und ein „verwundbar“ sollte nicht mit ungeprüften Exploit-Versuchen in Produktion beantwortet werden.

Incident-Checks nach der Offenlegung

Durch die neuen Meldungen zur Ausnutzung reicht reines Patch-Management für bereits exponierte Systeme nicht immer aus. Wer vor dem Fix lokalen Fremdcode ausgeführt hat, etwa in CI-Jobs, Containern, Shared-Hosting-Umgebungen oder auf Jump-Hosts, sollte Copy Fail als möglichen Eskalationsschritt nach initialem Zugriff behandeln.

Copy Fail ist schwerer klassisch nachzuweisen als eine Datei-Manipulation, weil der zentrale Effekt im Page Cache liegen kann. Trotzdem sollten Betreiber nach der Offenlegung nicht nur patchen, sondern auch typische lokale Eskalations- und Post-Exploitation-Spuren prüfen:

  • neue oder ungewöhnliche Root-Sessions, su/sudo-Nutzung und PAM-Logs,
  • auffällige Build-Job-Kommandos, Forks oder Pull Requests auf self-hosted Runnern,
  • neue Cronjobs, systemd-Units, SSH-Keys, SUID-Dateien und lokale Admin-Accounts,
  • Container-Workloads, die AF_ALG-Sockets oder ungewöhnliche splice()-Pfadkombinationen nutzen,
  • Secrets, die auf betroffenen Runnern oder Shared-Hosts im Zugriff waren.

Für besonders exponierte Systeme lohnt sich ein pragmatischer Ablauf: Host aus dem Pool nehmen, Kernel patchen, neu starten, kurzlebige Runner neu provisionieren und anschließend Credentials rotieren, die durch lokale Root-Rechte erreichbar gewesen wären.

FAQ

Was ist Copy Fail beziehungsweise CVE-2026-31431?
Copy Fail ist eine lokale Privilege-Escalation im Linux-Kernel. Über AF_ALG, splice und einen Fehler in algif_aead/authencesn kann ein unprivilegierter lokaler Prozess kontrolliert 4 Byte im Page Cache verändern und daraus Root-Rechte gewinnen.
Ist Copy Fail remote ausnutzbar?
Nicht direkt. Ein Angreifer benötigt lokale Codeausführung oder einen lokalen Nutzerkontext. Kritisch wird das bei Shared-Hosts, CI-Runnern, Container-Workloads und Servern, auf denen eine Web-RCE oder gestohlene Zugangsdaten bereits Shell-Zugriff ermöglichen.
Welche Systeme sollte ich zuerst patchen?
Priorisieren Sie Systeme mit mehreren Nutzern oder untrusted Code: Kubernetes-Nodes, selbst gehostete CI-Runner, Build-Server, Jump-Hosts, Shared-Development-Systeme, SaaS-Sandboxes und Container-Plattformen.
Ist CVE-2026-31431 in CISA KEV?
Ja. Anfang Mai 2026 wurde CVE-2026-31431 als CISA-KEV-Fall eingeordnet; heise berichtet am 4. Mai 2026 über Missbrauch in freier Wildbahn. Für Unternehmen ist das ein klares Priorisierungssignal: nicht nur CVSS bewerten, sondern aktive Ausnutzbarkeit, öffentliche PoCs und Patch-Fristen berücksichtigen.
Welche Kernel-Versionen enthalten den Fix?
Upstream ist der zentrale Fix der Wechsel zurück zu out-of-place in algif_aead. Genannt werden unter anderem Linux 7.0, 6.19.12 und 6.18.22 sowie Backports in weitere Kernel-Linien. Für produktive Systeme sind Vendor-Pakete wichtiger als reine Upstream-Nummern, weil Distributionen Fixes backporten.
Was ist die wichtigste Sofortmaßnahme?
Kernel-Update einspielen. Bis der Vendor-Fix ausgerollt ist, kann AF_ALG für untrusted Workloads per seccomp blockiert oder das Modul algif_aead deaktiviert werden, sofern keine eigene Anwendung AF_ALG AEAD direkt benötigt.

Themen

Linux SecurityCVE-2026-31431Copy FailKernel SecurityContainer SecurityPatch ManagementIncident Response

Quellen & weiterführende Links

  1. Disclosure: Copy Fail - CVE-2026-31431Theori / Xint Code, Public Disclosure am 29. April 2026, betroffene Kernel seit 2017, Mitigation und Timeline
  2. Demo: Copy Fail - The demoDirekter Link zur Demo-Section: gleicher Exploit auf mehreren großen Linux-Distributionen
  3. Xint Code: Copy Fail: 732 Bytes to Root on Every Major Linux DistributionXint Code Research Team, 29. April 2026 - Root Cause, Exploit-Kette, Fix und Disclosure Timeline
  4. heise online: Copy Fail - Linux-root in allen großen Distributionen mit 732 Byte Pythonheise online / Dirk Knop, 30. April 2026 - deutsche Einordnung, CVSS 7.8 und betroffene Distributionen
  5. heise online: Linux-Lücke „Copy Fail“ wird bereits angegriffenheise online / Dirk Knop, 4. Mai 2026 - CISA-Warnung vor Missbrauch, mehrere PoCs und Patch-Hinweise
  6. NVD: CVE-2026-31431National Vulnerability Database, veröffentlicht am 22. April 2026, zuletzt geändert am 30. April 2026, CNA CVSS 7.8 High
  7. Linux kernel stable: crypto: algif_aead - Revert to operating out-of-placeLinux kernel stable commit a664bf3d603d - zentraler Fix für CVE-2026-31431
  8. GitHub: theori-io/copy-fail-CVE-2026-31431Offizielles Copy-Fail-PoC-Repository, abgerufen am 30. April 2026
  9. GitHub: rootsecdev/cve_2026_31431 - Copy Fail ToolkitGitHub-Repository mit nicht-destruktivem Detector und LPE-PoC, abgerufen am 30. April 2026
  10. Ubuntu Security: CVE-2026-31431Canonical Ubuntu Security, veröffentlicht am 23. April 2026, zuletzt aktualisiert am 29. April 2026
  11. Microsoft Security: CVE-2026-31431 Copy Fail vulnerabilityMicrosoft Defender Security Research Team, 1. Mai 2026 - Cloud-/Kubernetes-Risiko, Beobachtungen und Detection-Hinweise
  12. Sysdig: CVE-2026-31431 “Copy Fail” Linux kernel flawSysdig Threat Research Team, 30. April 2026 - betroffene Kernel-Linien, gefixte Versionen und Detection-Regeln
  13. The Hacker News: CISA Adds Actively Exploited Linux Root Access Bug CVE-2026-31431 to KEVThe Hacker News, 3. Mai 2026 - Bericht zur Aufnahme in CISA KEV und Patch-Frist
  14. cPanel Support: CVE-2026-31431 copy/fail reported for linux kernelscPanel Support, aktualisiert am 2. Mai 2026 - Einordnung für cPanel/WHM-Hosts und KernelCare-Hinweise
  15. Plesk Support: Vulnerability CVE-2026-31431Plesk Support, aktualisiert am 2. Mai 2026 - betroffene Hosting-OS, KernelCare, CloudLinux, AlmaLinux, Ubuntu und Debian Hinweise
  16. Debian Security Tracker: CVE-2026-31431Debian Security Tracker, Status mehrerer Releases und Fix in unstable/sid, abgerufen am 30. April 2026
  17. Amazon Linux Security Center: CVE-2026-31431Amazon Linux ALAS, CVE-Status mit Pending-Fix-Hinweisen, abgerufen am 30. April 2026
  18. SUSE: CVE-2026-31431SUSE Security CVE-Seite, Status und Schwerebewertung, abgerufen am 30. April 2026