CVE-2026-31431, liebevoll „Copy Fail“ getauft, ist eine kritische Schwachstelle im Linux-Kernel, die seit 2017 im Verborgenen lauert und nun endlich die sicherheitstechnische Aufmerksamkeit bekommt, die sie verdient. Denn nichts sagt „sicher“ wie ein acht Jahre alter Bug.

Lassen Sie es uns in Begriffen erklären, die selbst ein Nicht-Linux-Benutzer versteht. Stellen Sie sich vor, der Arbeitsspeicher Ihres Computers ist eine Tafel, auf der ein Lehrer Ihre Noten in Echtzeit verfolgt. Schüler dürfen keine Kreide oder Radiergummis benutzen, also können sie nicht schummeln. Copy Fail ist wie ein hinterhältiger Schüler, der irgendwie sowohl Kreide als auch einen Radiergummi in die Finger bekommt und nur seine Note ändert, während Sie nicht hinschauen. Nur dass in diesem Fall die „Note“ die Sicherheit Ihres Systems ist.

Im Wesentlichen ist Copy Fail ein Fehler im Linux-Kernel, der die Sicherheit für bestimmte Datentypen verwaltet. Ein Angreifer mit nur grundlegendem Systemzugriff kann ein entscheidendes Datenstück im RAM des Computers verändern. Einmal geändert, täuscht die veränderte Daten dem System vor, der Angreifer sei der Root-Benutzer, und gibt ihm die volle Kontrolle. Stellen Sie es sich wie einen Hausmeister vor, der das Namensschild des Chefs nimmt und es neben seiner Abstellkammer an die Wand klebt, um alle davon zu überzeugen, dass er der Boss ist.

Im Gegensatz zu vielen Linux-Sicherheitslücken, die präzises Timing oder komplexe Abläufe erfordern, ist Copy Fail erfrischend einfach. Es missbraucht die AF_ALG-Socket-Schnittstelle und den splice()-Systemaufruf, um nur 4 Bytes im Page-Cache des Kernels für jede lesbare Datei zu überschreiben. Von dort aus können Angreifer setuid-Binärdateien – wie den su-Befehl –, die im Speicher sind, modifizieren, um Root-Zugriff zu erlangen. Keine zeitabhängigen Wiederholungen nötig; es ist ein stabiler, direkter Exploit.

Copy Fail betrifft alle Linux-Kernel von Version 4.14 bis 6.19.12. Das ist richtig: Kernel von 2017 bis heute. Denn warum den Schaden auf nur ein paar Jahre begrenzen?

Laut dem Xint Code Research Team: „Dieser Fund wurde KI-gestützt, begann aber mit einer Erkenntnis des Theori-Forschers Taeyang Lee, der untersuchte, wie das Linux-Krypto-Subsystem mit Page-Cache-gestützten Daten interagiert.“ Ein Mensch hatte also die ursprüngliche Idee, und KI half, die Suche zu skalieren. Denn natürlich ist KI beteiligt.

Der Fix ist einfach: Aktualisieren Sie Ihren Kernel auf die neueste Version. Um zu überprüfen, ob Sie gepatcht sind, führen Sie diesen Befehl aus:

```

l kmod grep -qE '^algif_aead ' /proc/modules && echo "Betroffenes Modul geladen" || echo "Betroffenes Modul NICHT geladen"

```

Wenn Sie „Betroffenes Modul NICHT geladen“ sehen, sind Sie sicher. Wenn Sie „Betroffenes Modul geladen“ sehen, aktualisieren Sie Ihr System. Wenn es auch nach dem Update noch geladen ist, deaktivieren Sie das algif_aead-Modul mit:

```

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

```

Sie wissen jetzt genug über Copy Fail, um geschützt zu bleiben. Bitte sehr.