CVE-2026-31431 – CopyFail

Lokale Privilege Escalation im Linux-Kernel – Sofortfix für alle gängigen Distros

30. April 2026 · Aktualisiert: 13. Mai 2026 · Sicherheit · Linux · Homelab

Update — 4. Mai 2026

Debian 12 und AlmaLinux haben gepatchte Kernel veröffentlicht. Die Tabelle und Distro-Blöcke wurden entsprechend aktualisiert.

Update — 8. Mai 2026

Korrektur Ubuntu 22.04: Der Ubuntu Security Tracker zeigt Stand heute Jammy und Noble weiterhin als Vulnerable (Pending). Ubuntu hat lediglich einen kmod-Workaround veröffentlicht, der das Modul per Blacklist sperrt — kein gepatchter Kernel. Die Distro-Tabelle und der Ubuntu-Block wurden entsprechend korrigiert. Die modprobe.d-Mitigation bleibt auf Ubuntu-Systemen weiterhin notwendig.

Update — 13. Mai 2026

Red Hat hat Kernel-Updates für RHEL 8, 9 und 10 veröffentlicht. Rocky Linux folgt über dieselben Upstream-Pakete. Fedora-Patches sind in den Repositories verfügbar. Distro-Tabelle und Blöcke aktualisiert.

Seit 2017 schlummert eine Schwachstelle im Linux-Kernel, die einem lokalen Angreifer ohne jegliche Berechtigungen erlaubt, 4 Bytes in beliebige lesbare Dateien zu schreiben. Das klingt nach wenig – ist aber genug für eine vollständige Privilege Escalation. Die Lücke wurde am 29. April 2026 unter dem Namen CopyFail (CVE-2026-31431) veröffentlicht.

Dieser Artikel erklärt was passiert, welche Systeme betroffen sind und wie der Sofortfix auf jeder gängigen Distribution aussieht.

Was steckt dahinter?

Das Problem liegt in drei Komponenten, die zusammen ein unerwartetes Verhalten erzeugen:

AF_ALG-Socket: Schnittstelle, über die Userspace-Programme direkt auf Kernel-Kryptofunktionen zugreifen können.
splice()-Syscall: Überträgt Datei-Cache-Seiten direkt in eine Scatterlist-Struktur im Kernel.
authencesn-Algorithmus: Schreibt bei In-Place-AEAD-Operationen 4 Bytes an eine Position außerhalb des vorgesehenen Ausgabepuffers – direkt in den Page Cache.

Ein Commit aus dem Jahr 2017 (72548b093ee3) hatte diese In-Place-Optimierung eingeführt. Der Fix (a664bf3d603d) kehrt AEAD-Operationen zurück auf Out-of-Place und trennt Quell- und Zielscatterlist sauber voneinander.

Technischer Kern: Ein unprivilegierter lokaler Nutzer kann via AF_ALG-Socket + splice() kontrolliert 4 Bytes in den Page Cache schreiben. Das reicht, um z. B. setuid-Binaries oder Konfigurationsdateien zu manipulieren.

Bin ich betroffen?

Alle Kernel von Version 4.14 bis einschließlich 6.18.21 bzw. 6.19.11 sind verwundbar. Das schließt praktisch jede produktive Linux-Installation der letzten Jahre ein.

Distribution	Betroffene Kernel	Gepatchte Version
Debian 12 (Bookworm)	`6.1.x`	`6.1.170-1` ✓ (Security-Repo, ab 01.05.2026)
Ubuntu 22.04 LTS	`5.15.x / 6.5.x`	Kernel-Patch ausstehend — kmod-Workaround via Ubuntu verfügbar (Stand 08.05.2026)
Ubuntu 24.04 LTS	`6.8.x`	Patch ausstehend — gepatchtes Paket noch nicht in `noble-updates`/`noble-security`
Proxmox VE 8	`6.8.x / 6.17.x`	Patch über Debian Bookworm Security-Repo verfügbar
RHEL 8 / Rocky 8	`4.18.x`	`4.18.0-553.123.1` ✓ (ab Mai 2026)
RHEL 9 / Rocky 9 / AlmaLinux 9	`5.14.x`	`5.14.0-611.54.1` ✓ (ab Mai 2026)
RHEL 10 / AlmaLinux 10	`6.12.x`	`6.12.0-124.55.1` ✓ (ab Mai 2026)
Fedora 40 / 41	`6.11.x – 6.12.x`	Patch in Fedora-Repositories verfügbar ✓
Arch Linux	Rolling, kernel < 6.18.22	`linux 6.18.22+` (Rolling)
Mainline	< 6.18.22 / < 6.19.12	`6.18.22`, `6.19.12`, `7.0+`

Schnellcheck auf jedem System:

# Kernel-Version anzeigen
uname -r

# Ist das Modul bereits geladen?
lsmod | grep algif_aead

Hinweis zum Modul: Ist algif_aead nicht in der Ausgabe von lsmod, ist das Modul aktuell nicht aktiv. Es kann aber jederzeit on-demand geladen werden – durch eine Anwendung, die AF_ALG mit AEAD nutzt. Der Sofortfix verhindert genau das.

Sofortfix (alle Distros)

Solange kein gepatchter Kernel verfügbar ist, verhindert folgende Maßnahme das Laden des verwundbaren Moduls. Sie ist distributions-unabhängig und sofort wirksam:

# Modul dauerhaft sperren
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

# Falls das Modul bereits geladen ist: entladen
rmmod algif_aead 2>/dev/null || true

# Prüfen
cat /etc/modprobe.d/disable-algif-aead.conf

Mehrere Server auf einmal (Beispiel mit SSH-Config-Aliasen):

# Parallel auf alle Server ausrollen
for host in server1 server2 server3; do
  ssh "$host" 'echo "install algif_aead /bin/false" \
    > /etc/modprobe.d/disable-algif-aead.conf \
    && echo "OK: $HOSTNAME"' &
done
wait

Wirkung: Versucht eine Anwendung das Modul zu laden, schlägt der Ladevorgang mit einem Fehler fehl. Der Exploit-Pfad ist damit unterbrochen.

Distro-spezifische Hinweise

Debian 12 (Bookworm) Gepatcht

Kernel: 6.1.x · Gepatchte Version: 6.1.170-1 · verfügbar ab 01.05.2026

Patch ist im Debian Security-Repository verfügbar (DSA veröffentlicht):

apt update && apt upgrade linux-image-$(uname -r)
# Danach neu starten und Datei entfernen:
rm /etc/modprobe.d/disable-algif-aead.conf

Status verfolgen: security-tracker.debian.org

Ubuntu 22.04 LTS Ausstehend Ubuntu 24.04 LTS Ausstehend

22.04: Kernel 5.15.x / 6.5.x | 24.04: Kernel 6.8.x · Beide Releases: Kernel-Patch ausstehend (Stand 08.05.2026)

Kein gepatchter Kernel verfügbar. Ubuntu hat für beide Releases lediglich einen kmod-Workaround veröffentlicht, der algif_aead per Blacklist sperrt — identisch zur manuellen Mitigation via modprobe.d. Ein vollständig gepatchter Kernel ist im Ubuntu Security Tracker weiterhin als Pending gelistet. Die disable-algif-aead.conf bleibt notwendig.

# Mitigation bleibt aktiv bis gepatchter Kernel erscheint.
# Danach: apt update && apt upgrade linux-image-$(uname -r)
# Anschließend:
rm /etc/modprobe.d/disable-algif-aead.conf && reboot

Status: ubuntu.com/security/CVE-2026-31431

Proxmox VE 8 Gepatcht

Kernel: pve-kernel 6.8.x / 6.17.x · Patch über Debian Bookworm Security-Repo verfügbar

apt update && apt upgrade pve-kernel-$(uname -r)
# Proxmox-Kernel-Updates über pveam oder apt:
pveupgrade

Status: Proxmox Forum · Roadmap

RHEL 8 / 9 / 10 · Rocky Linux · AlmaLinux Gepatcht

RHEL 8: 4.18.0-553.123.1 · RHEL 9: 5.14.0-611.54.1 · RHEL 10: 6.12.0-124.55.1

dnf update kernel
# Nach Reboot Mitigation entfernen:
rm /etc/modprobe.d/disable-algif-aead.conf && reboot

Status: Red Hat Security Advisory

Fedora 40 / 41 Gepatcht

Kernel-Patch in Fedora-Repositories verfügbar

dnf update kernel
# Nach Reboot Mitigation entfernen:
rm /etc/modprobe.d/disable-algif-aead.conf && reboot

Arch Linux Update verfügbar

Kernel: Rolling · Gepatchter Kernel: 6.18.22+

pacman -Syu linux linux-headers
# Nach Reboot Mitigation entfernen:
rm /etc/modprobe.d/disable-algif-aead.conf

Nach dem Kernel-Update

Sobald ein gepatchter Kernel installiert und das System neu gestartet ist, muss die temporäre Sperre wieder entfernt werden – damit legitime Anwendungen, die AF_ALG AEAD nutzen, wieder funktionieren:

# Kernel-Version nach dem Update prüfen
uname -r

# Mitigation entfernen (nur wenn Kernel gepatcht!)
rm /etc/modprobe.d/disable-algif-aead.conf

# Modul-Sperre ist damit aufgehoben