Linux-Sicherheitslücke CopyFail: Angreifer erhalten Root-Zugriff auf betroffene Systeme

Eine kritische Schwachstelle im Linux-Kernel wird bereits aktiv ausgenutzt – wer betroffene Systeme nicht umgehend aktualisiert, riskiert vollständigen Kontrollverlust. Die als CVE-2026-31431 bezeichnete Lücke, intern „CopyFail" genannt, erlaubt es einem normalen Benutzer ohne Administratorrechte, sich zum Root-Nutzer hochzustufen. Das CERT-EU hat am 30. April 2026 eine Sicherheitswarnung veröffentlicht und empfiehlt sofortige Maßnahmen.

Die Lücke

Der Fehler steckt im Kernel-Modul `algif_aead`, das zur verschlüsselungsnahen Kommunikation zwischen Nutzeranwendungen und dem Kernel dient. Ein Logikfehler bei der Datenverarbeitung lässt sich mit einem nur 732 Byte kleinen Exploit ausnutzen – ohne Administratorrechte, ohne physischen Zugang. Das Common Vulnerability Scoring System bewertet die Schwachstelle mit 7,8 von 10 (High).

Betroffen sind Systeme, die seit 2017 gebaut wurden: Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023, SUSE 16 sowie Debian, Fedora und Kubernetes-Umgebungen. Der Fix im Linux-Mainline-Kernel wurde zwar am 1. April 2026 eingecheckt, laut CERT-EU Advisory 2026-005 standen zum Zeitpunkt der Warnung jedoch noch nicht für alle Distributionen fertige Vendor-Patches bereit.

Das Risiko in Deutschland

Besonders heikel ist die Schwachstelle in Container-Umgebungen: Über den gemeinsamen Kernel-Page-Cache können Angreifer aus einem Container ausbrechen und andere Mandanten oder den Host-Server kompromittieren. Das betrifft Multi-Tenant-Clouds und Kubernetes-Cluster direkt – Betriebsszenarien, die bei deutschen Hosting-Anbietern wie Hetzner, Strato oder 1&1 sowie in der eingebetteten Linux-Infrastruktur von Industrie- und Automobilunternehmen weit verbreitet sind.

CERT-EU priorisiert ausdrücklich Kubernetes-Knoten und CI/CD-Pipelines (automatisierte Software-Lieferketten). Wer als Unternehmen eine Kompromittierung feststellt, muss zudem NIS2-Meldepflichten prüfen – die EU-Richtlinie zur Netz- und Informationssicherheit schreibt für Betreiber kritischer Infrastruktur verbindliche Meldewege vor.

Sofortmaßnahmen

Der erste Schritt ist das Einspielen der verfügbaren Kernel-Updates der jeweiligen Distribution. Wo Patches noch ausstehen, empfiehlt CERT-EU, das Laden des `algif_aead`-Moduls zu deaktivieren, sofern es nicht betriebsnotwendig ist. Auch Heise Online berichtet über die Schwachstelle und den Stand der Distributionen. Die US-Behörde CISA hat CopyFail am 1. Mai in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen – ein klares Zeichen, dass echte Angriffe bereits laufen.