Linux-Lücke „Copy Fail“: Jeder Nutzer kann Root werden
📅 01.05.2026

Linux-Lücke „Copy Fail“: Jeder Nutzer kann Root werden

Eine neue Sicherheitslücke im Linux-Kernel sorgt für Aufmerksamkeit – und sie ist gefährlicher, als es auf den ersten Blick wirkt. Die Schwachstelle mit dem Namen „Copy Fail“ erlaubt es einem einfachen Nutzer, sich Root-Rechte zu verschaffen – ohne Race Conditions, ohne komplexe Exploits.

Was hinter „Copy Fail“ steckt

Die als CVE-2026-31431 geführte Schwachstelle betrifft den Linux-Kernel selbst. Konkret liegt das Problem im kryptografischen Subsystem, genauer im Modul algif_aead. Der Fehler existiert bereits seit einem Code-Commit aus dem Jahr 2017 – und betrifft damit praktisch alle gängigen Distributionen.

Darunter fallen unter anderem Ubuntu, Debian, Red Hat Enterprise Linux, SUSE und Amazon Linux.

Der eigentliche Angriff: Manipulation des Page Cache

Im Kern ermöglicht die Lücke einem lokalen Nutzer, gezielt Daten in den sogenannten Page Cache zu schreiben. Dabei handelt es sich um einen Zwischenspeicher des Kernels, der von allen Prozessen gemeinsam genutzt wird.

Genau hier liegt die Gefahr: Angreifer können damit Inhalte von Systemdateien manipulieren, ohne direkten Schreibzugriff zu besitzen.

Ein mögliches Ziel ist etwa die Datei /usr/bin/su, die mit erweiterten Rechten ausgeführt wird. Wird sie im Speicher verändert, kann beim nächsten Aufruf eigener Code mit Root-Rechten ausgeführt werden.

Warum diese Lücke besonders kritisch ist

Viele Sicherheitslücken benötigen komplexe Bedingungen – etwa Timing-Probleme oder spezifische Kernel-Versionen. „Copy Fail“ ist anders:

  • funktioniert stabil und reproduzierbar
  • benötigt keinen Race Condition
  • läuft auf vielen Distributionen identisch
  • funktioniert sogar containerübergreifend

Das macht die Lücke besonders gefährlich für Server-Umgebungen, Shared-Systeme und Container-Infrastrukturen.

Vergleich: Erinnerungen an „Dirty Pipe“

Die Funktionsweise erinnert an die bekannte Schwachstelle „Dirty Pipe“ aus dem Jahr 2022. Auch dort konnten Angreifer Daten in eigentlich schreibgeschützte Dateien einschleusen.

Der Unterschied: „Copy Fail“ nutzt einen anderen Teil des Kernels – zeigt aber, dass solche Angriffsarten weiterhin möglich sind.

Was du jetzt tun solltest

Die wichtigste Maßnahme ist einfach: Updates installieren.

Die großen Distributionen haben bereits Sicherheitsupdates veröffentlicht. Systeme ohne aktuelle Patches bleiben jedoch angreifbar, sobald ein Angreifer lokalen Zugriff erhält.

Für normale Desktop-Nutzer ist das Risiko überschaubar. In Server- oder Multi-User-Umgebungen kann die Lücke jedoch kritisch werden.

Wizzper-Einordnung

„Copy Fail“ ist kein klassischer Remote-Hack – aber genau deshalb gefährlich. Solche Lücken werden oft unterschätzt, weil sie „nur lokal“ funktionieren.

In der Praxis reicht jedoch häufig bereits ein eingeschränkter Zugang, etwa über kompromittierte Accounts oder Container. Von dort aus führt die Schwachstelle direkt zu Root-Rechten.

Die eigentliche Erkenntnis: Auch moderne Linux-Systeme sind nicht automatisch sicher. Entscheidend ist, wie schnell Sicherheitsupdates eingespielt werden.

Alexander Elgert
Produktanalyst & Redaktion
Alexander analysiert täglich tausende Produkte nach Preisen, Qualität & Trends und erstellt fundierte Bewertungen.