Sicherheitslücke Linux CVE‑2026‑31431 ("Copy Fail")

30.04.2026|12:15 Uhr

Die Schwachstelle CVE‑2026‑31431 ("Copy Fail") betrifft praktisch alle Linux‑Distributionen, die Kernel verwenden, die zwischen 2017 und der Veröffentlichung des Fix gebaut wurden. Sie ermöglicht einem beliebigen lokalen Nutzer, Root‑Rechte zu erlangen (local privilege escalation).

Die Schwachstelle CVE‑2026‑31431 ("Copy Fail") betrifft praktisch alle Linux‑Distributionen, die Kernel verwenden, die zwischen 2017 und der Veröffentlichung des Fix (https://github.com/torvalds/linux/commit/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5) gebaut wurden.
Sie ermöglicht einem beliebigen lokalen Nutzer, Root‑Rechte zu erlangen (local privilege escalation). 

Bei Serversystemen die ausschließlich nur von administrativen Usern genutzt werden, liegt eine etwas geringere Gefahr vor, dass diese Schwachstelle unmittelbar ausgenutzt werden kann.
Dennoch ist es unabdingbar, dass die Systeme bei Veröffentlichung der Patches unmittelbar geupdated werden.

Für folgende System ist dies besonders Schwachstelle besonders problematisch:

• Multi‑Tenant‑Umgebungen (gemeinsame Entwicklungs‑ oder Jump‑Hosts, Build‑Server, geteilte Rechner. Jeder unprivilegierte Nutzer kann sofort das gesamte System übernehmen)  
• Containercluster (z.B. Docker / Kubernetes. Ein kompromittierter Container kann über die Schwachstelle das Host-Betriebssystem kompromittieren)  
• CI‑Runner / Buildserver (Code, der im Rahmen von Pull‑Requests oder automatisierten Jobs ausgeführt wird, kann das System vollständig übernehmen)

Was zu tun ist:

Aktuell (30.04.2026 12:00) haben die meisten Distributionen den Kernelpatch, der die Sicherheitslücke schließt, noch nicht über die jeweiligen Updatemechanismen zur Verfügung gestellt.
Sollten Sie ein System betreiben, welches den oben genannten Profilen entspricht, ist es ratsam die empfohlene Mitigation (https://copy.fail/#mitigation) anzuwenden, bis die Sicherheitsupdates veröffentlicht wurden.

1. Priorisieren Sie die betroffenen Systeme: Prüfen Sie, welche Ihrer Server und Cluster noch einen Kernel aus dem Zeitraum 2017 und dem Patch‑Release verwenden.  
2. Zeitnahes einspielen der Mitigation: Bis ein offizielles Kernel‑Patch breit ausgerollt ist, sollten Sie die Nutzung des betroffenen Kernel‑Subsystems (AF_ALG) deaktivieren.
3. Planen Sie den Patch‑Rollout: Sobald die korrigierten Kernel‑Pakete in Ihren Distributionen verfügbar sind sollten dies unmittelbar eingespielt werden.

Aktueller Stand - Sicherheitsupdates Distributionen

Über die Security Tracker Ihrer verwendeten Linux-Distribution können Sie nachvollziehen, welche konkreten Versionen betroffen sind und ob ein Patch bereits veröffentlicht wurde.

•  https://security-tracker.debian.org/tracker/CVE-2026-31431 
•  https://ubuntu.com/security/CVE-2026-31431 
•  https://access.redhat.com/security/cve/cve-2026-31431 

Weitere Informationen

• https://copy.fail 
• https://www.heise.de/news/Copy-Fail-Linux-root-in-allen-grossen-Distributionen-mit-732-Byte-Python-11277590.html

Für Rückfragen stehen wir Ihnen gerne per E-Mail zur Verfügung: itsec[at]uni-wuppertal.de