Die neueste Kernel-Sicherheitslücke in Linux hat keinen ausgefallenen Namen; sie heißt einfach "ssh‑keysign‑pwn". Es ist bereits der vierte hochkarätige lokale Sicherheitsfehler, der Linux innerhalb weniger Wochen trifft. Dieser ermöglicht es normalen Benutzern, leise einige der sensibelsten Dateien eines Systems zu lesen, darunter die privaten SSH-Hostschlüssel und die Shadow-Passwortdatei.

Die Schwachstelle verdankt ihren Spitznamen "ssh‑keysign‑pwn" einem der Hauptangriffspfade: dem Missbrauch des OpenSSH-Hilfsprogramms ssh-keysign. Keysign wird für die hostbasierte Authentifizierung verwendet und läuft normalerweise mit setuid root, öffnet die SSH-Hostschlüssel des Systems, bevor es die Berechtigungen zur Ausführung seiner Aufgabe herabsetzt.

Sicherheitsforscher des Unternehmens Qualys haben CVE‑2026‑46333 offengelegt, eine Schwachstelle zur Informationsoffenlegung in der ptrace-Zugriffskontrolle des Linux-Kernels. Qualys behauptet, dass sie in der einen oder anderen Form seit etwa sechs Jahren existiert.

Der Fehler liegt in der __ptrace_may_access()-Logik, die beim Beenden von Prozessen ausgeführt wird. Unter bestimmten Bedingungen überspringt der Kernel die normalen "dumpable"-Prüfungen, sobald ein Prozess seine Speicherabbildung aufgegeben hat. Dies öffnet ein kurzes Zeitfenster für einen anderen Prozess, um seine Dateideskriptoren zu stehlen.

Obwohl ssh‑keysign‑pwn allein keine vollständige Root-Shell liefert, ist die Fähigkeit, Hostschlüssel und Passwort-Hashes zu exfiltrieren, ein mächtiger Baustein für laterale Bewegung und langfristige Persistenz. Darüber hinaus können Angreifer mit gestohlenen SSH-Hostschlüsseln Maschinen in hostbasierten Vertrauensbeziehungen imitieren. Mit Zugriff auf das Shadow-Passwortverzeichnis können sie Offline-Passwort-Cracking versuchen und diese Anmeldeinformationen systemübergreifend wiederverwenden.

In seinem Patch erklärte Linus Torvalds, das Problem bestehe, weil "Wir einen seltsamen Sonderfall haben: ptrace_may_access() verwendet 'dumpable', um verschiedene andere Dinge völlig unabhängig vom MM zu prüfen (typischerweise explizit mit Flags wie PTRACE_MODE_READ_FSCREDS). Einschließlich für Threads, die keinen VM mehr haben (und vielleicht nie hatten, wie die meisten Kernel-Threads). Es ist nicht das, wofür dieses Flag entwickelt wurde, aber es ist, wie es ist."

Was das für Sie und mich bedeutet: Durch die Kombination dieses Logikfehlers mit dem Systemaufruf pidfd_getfd(2) können unprivilegierte Benutzer in privilegierte Prozesse greifen, die sich gerade herunterfahren, ihre noch offenen Dateideskriptoren schnappen und dann aus Dateien lesen, die normalerweise nur für Root zugänglich wären.

Die gute Nachricht ist, dass der Fix verfügbar ist. Der Linux-Stable-Maintainer Greg Kroah‑Hartman hat bereits Updates für mehrere unterstützte Zweige ausgerollt, darunter neue Versionen wie 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 und 5.10.256, die alle den ssh‑keysign‑pwn-Fix enthalten. Sie sollten so schnell wie möglich auf einen dieser Kernel umsteigen. Diese Lücke betrifft alle Linux-Kernel, die vor dem 14. Mai 2026 veröffentlicht wurden.

Bis gepatchte Kernel weit verbreitet sind, haben Sicherheitsteams einige Abhilfemöglichkeiten, aber jede hat ihre Nachteile. Eine schnelle und schmutzige Problemumgehung ist die Verschärfung der Yama-ptrace-Einschränkungen von Linux, die ptrace für Nicht-Root-Benutzer deaktiviert und den Exploit blockiert, aber auch viele Debugging- und Überwachungs-Workflows beeinträchtigt. Sie können die Exposition auch verringern, indem Sie die hostbasierte SSH-Authentifizierung und das ssh-keysign-Hilfsprogramm auf Systemen, auf denen sie nicht benötigt werden, vollständig deaktivieren, was jedoch SSH zum Stillstand bringt.

Wie ein müdes Mitglied des Manjaro-Linux-Teams es ausdrückte: "Betreiben Sie Ihren PC nicht, wenn Sie ihn nicht brauchen. Schließen Sie sich ein und schauen Sie sich über die Schulter." Nun, das ist sicherlich eine Möglichkeit, damit umzugehen!