CVE-2026-46333 ssh-keysign-pwn: Linux-Kernel-Lücke bedroht SSH-Keys

Stand: 17. Mai 2026 - zuletzt aktualisiert

CVE-2026-46333 ssh-keysign-pwn ist eine neu beschriebene Linux-Kernel-Schwachstelle mit hohem Risiko für SSH-Server, Jump Hosts und gemeinsam genutzte Linux-Systeme. Laut Cyber Security News können lokale Angreifer unter bestimmten Bedingungen auf sensible Daten wie SSH-Private-Keys und /etc/shadow zugreifen. [Quelle]

CVE-2026-46333 ssh-keysign-pwn kurz erklärt

Die Linux-Kernel-Lücke CVE-2026-46333 sitzt in der ptrace-Zugriffslogik. Während privilegierte Prozesse wie ssh-keysign oder chage beendet werden, kann ein Race Condition-Fenster entstehen: Der Speicher-Kontext ist bereits weg, offene File Descriptors existieren aber noch. Genau diese Lücke kann über pidfd_getfd() ausgenutzt werden. [Quelle]

Warum CVE-2026-46333 für SSH-Sicherheit wichtig ist

Bei ssh-keysign-pwn geht es nicht nur um eine lokale Kernel-Schwachstelle: Gestohlene SSH-Hostkeys können Identitätsmissbrauch, Man-in-the-Middle-Szenarien und laterale Bewegung erleichtern. Zugriff auf /etc/shadow bedeutet zusätzlich: Passwort-Hashes können offline angegriffen werden. Besonders kritisch sind Systeme, auf denen untrusted lokale Nutzer, CI-Jobs, Container-Workloads oder kompromittierte Accounts Code ausführen können.

CVE-2026-46333 Maßnahmen: Patchen, SSH-Keys prüfen, Zugriff begrenzen

• Kernel-Patches einspielen, insbesondere Fixes seit dem Patch-Stand vom 14. Mai 2026 prüfen.
• SSH-Keys rotieren, wenn Systeme vor dem Fix exponiert oder verdächtig waren.
• Lokalen Zugriff begrenzen: Shell-Zugänge, CI-Runner und Shared Hosts priorisieren.
• Monitoring schärfen für auffällige ptrace- oder pidfd-nahe Aktivitäten.