Laut dem leitenden Informationssicherheitsbeauftragten (CISO) von SlowMist, 23pds, der am 30. April auf X gepostet hat, wurde in Systemen mit Linux ein logischer Schwachstellenfehler mit dem Namen „Copy Fail“ entdeckt (CVE-2026-31431), der sich sehr leicht ausnutzen lässt. SlowMist rät Nutzern, den Kernel schnellstmöglich zu aktualisieren.
Grundlegende Informationen zur Schwachstelle und betroffene Bereiche
Laut dem technischen Bericht vom 29. April des Xint-Code-Forschungsteams handelt es sich bei CVE-2026-31431 um einen logischen Fehler in der Linux-Kernelvorlage für Authenticated-Encryption-with-Associated-Data (AEAD) in der Datei algif_aead.c. Die Ausnutzung erfolgt über eine Kettenaufruf-Verkettung mit AF_ALG und der Funktion splice(), wodurch nicht privilegierte lokale Benutzer eine deterministische 4-Byte-kontrollierte Write-in-Operation auf Seiten-Cache eines beliebig lesbaren Dateiinhalts des Systems durchführen können. Anschließend kann durch das Zerstören von setuid-Binärdateien Root-Rechte erlangt werden.
Laut dem Xint-Code-Bericht wurden die betroffenen Distributionen und Kernelversionen wie folgt getestet und bestätigt:
Ubuntu 24.04 LTS: Kernel 6.17.0-1007-aws
Amazon Linux 2023: Kernel 6.18.8-9.213.amzn2023
RHEL 10.1: Kernel 6.12.0-124.45.1.el10_1
SUSE 16: Kernel 6.12.0-160000.9-default
Laut dem Xint-Code-Bericht liegt die grundlegende Ursache dieser Schwachstelle darin, dass 2017 eine In-Place-AEAD-Optimierung in algif_aead.c eingeführt wurde (Commit 72548b093ee3). Dadurch werden die Seiten-Cache-Seiten, die aus splice() stammen, in eine beschreibbare, disjunkten Liste gestellt. Zusammen mit temporären Write-Operationen des Authenticsn-AEAD-Encapsulators ergibt sich dadurch eine ausnutzbare Angriffsstrecke.
Zeitplan für koordinierte Offenlegung und Patch-Maßnahmen
Laut dem Zeitplan, den Xint Code am 29. April offengelegt hat, wurde CVE-2026-31431 am 23. März 2026 an das Linux-Kernel-Security-Team gemeldet. Der Patch (a664bf3d603d) wurde am 25. März zur Prüfung abgeschlossen, am 1. April in den Mainline-Kernel eingereicht, am 22. April erfolgte die offizielle Zuweisung der CVE, und am 29. April wurde die Schwachstelle öffentlich offengelegt.
Laut dem Xint-Code-Bericht umfassen die Patch-Maßnahmen: das Aktualisieren der Kernel-Softwarepakete der Distributionen (bei gängigen Distributionen sollte dieser Patch über normale Kernel-Updates veröffentlicht werden). Falls eine sofortige Minderung erforderlich ist, kann AF_ALG durch seccomp vom Erstellen von Sockets blockiert werden. Alternativ kann man das folgende Kommando ausführen, um das algif_aead-Modul auf die Blacklist zu setzen: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.
Laut dem Xint-Code-Bericht betrifft die Schwachstelle außerdem Szenarien über Container-Grenzen hinweg, da der Seiten-Cache vom Host gemeinsam genutzt wird; relevante Auswirkungen auf Kubernetes-Container-Escapes werden im zweiten Teil offengelegt.
Häufige Fragen
Wie groß ist der Einflussbereich von CVE-2026-31431?
Laut dem Xint-Code-Bericht vom 29. April und der Warnung von SlowMist 23pds vom 30. April betrifft CVE-2026-31431 nahezu alle gängigen Linux-Distributionen, die seit 2017 veröffentlicht wurden, darunter Ubuntu, Amazon Linux, RHEL und SUSE. Ein 732-Byte-Python-Skript kann ohne spezielle Rechte Root-Rechte erlangen.
Wie sieht die temporäre Minderung dieser Schwachstelle aus?
Laut dem Xint-Code-Bericht kann sie durch Blockieren der Erstellung von AF_ALG-Sockets über seccomp erfolgen. Alternativ kann man zur sofortigen Minderung algif_aead auf die Blacklist setzen, indem man echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf ausführt.
Wann wurde der Patch für CVE-2026-31431 veröffentlicht?
Laut dem Zeitplan, den Xint Code am 29. April offengelegt hat, wurde der Patch (a664bf3d603d) am 1. April 2026 in den Linux-Mainline-Kernel eingereicht. Gängige Distributionen sollten diesen Patch über normale Kernel-Softwarepaket-Updates veröffentlichen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Krypto-Walfisch verklagt Coinbase wegen $55M gestohlenen DAI
Ein anonymer Krypto-Whale, der als „D.B.“ identifiziert wurde, hat am Montag eine Klage gegen Coinbase und einen angeblichen Dieb eingereicht. In der Klage wird behauptet, die Börse habe die Rückgabe eingefrorener Gelder, die mit einem Krypto-Diebstahl aus dem Jahr 2024 im Wert von ungefähr 55 Millionen US-Dollar in DAI verbunden seien, unrechtmäßig verweigert, wie aus der von The eingesehenen Klageunterlage hervorgeht
CryptoFrontier3M her
Bitcoin Core deckt einen Fehler auf, der es Minern ermöglichen könnte, Knoten zum Absturz zu bringen
Bitcoin Core-Entwickler haben einen schwerwiegenden Bug offengelegt, der es Minern ermöglichen könnte, einige Bitcoin-Knoten remote zum Absturz zu bringen.
Zusammenfassung
Bitcoin Core hat CVE-2024-52911 offengelegt, das Versionen vor 29.0 betrifft, wobei ältere Knoten weiterhin online angreifbar sind.
Miner benötigten kostspielige Proof-of-Work-Blöcke, um den Bug auszulösen
Cryptonews1Std her
In Nordkoreas Terrorangriff: Inhaber ringen um ein Upgrade – eingefrorene Aave-Vermögenswerte im Wert von 71 Millionen US-Dollar, berufen auf ein Antiterror-Versicherungsgesetz
Die Lage beim Aufwärmen des nordkoreanischen Terroranschlags eskaliert: 71 Millionen US-Dollar an bei Aave eingefrorenen Vermögenswerten gehen in die dritte Runde. Die Kläger ändern ihre Argumentation hin zu der Behauptung, ETH sei ein staatliches Vermögen Nordkoreas im Rahmen des TRIA-Gesetzes, und betonen, dass es sich um Betrug statt um Diebstahl handelt, um die Einwendung „Täter besitzt keine Beute“ zu umgehen. Gleichzeitig stellen sie Aaves Standing und die Rolle in der Governance in Frage. DeFi United hat über 328 Millionen US-Dollar eingesammelt, genug, um die betroffenen Nutzer zu entschädigen. Der Rechtsstreit könnte ein richtungsweisendes Präzedenzfall für DeFi-Rechtsfragen und DAO-Governance werden.
ChainNewsAbmedia3Std her
Krypto-"Riesenwal" verklagt Coinbase: Vorwurf, dass gestohlenes DAI eingefroren und dann die Rückgabe verweigert wurde
Laut The Block vom 6. Mai verklagte der anonyme Krypto-Großhai, der unter dem Pseudonym „DB“ angeklagt wurde, am Montag Coinbase sowie den mutmaßlichen Dieb „John Doe“. Er macht geltend, dass Coinbase die Rückerstattung eingefrorener DAI-Gelder im Zusammenhang mit einem Kryptodiebstahl aus dem Jahr 2024 weiterhin verweigere, obwohl Coinbase mit eidesstattlichen Erklärungen seine Rechtmäßigkeit als Eigentümer nachgewiesen habe.
MarketWhisper4Std her
Nordkoreaerische Terroropfer reichen einen Antrag ein, $71M aus dem Aave-Hack zu beschlagnahmen, und stellen die Sache als Betrug neu dar
Anwälte der Opfer von drei Fällen nordkoreanischen Terrorismus haben am Dienstag eine 30-seitige Erwiderung eingereicht und den Aave-Hack vom 18. April als Betrug statt als Diebstahl neu eingeordnet. Die Unterscheidung ist rechtlich bedeutsam: Wenn der Vorfall als Betrug charakterisiert wird, könnten die Angreifer einen rechtlichen Anspruch auf die geliehenen…
GateNews5Std her
