CopyFail – CVE-2026-31431

Title: Copy Fail: 732 Bytes bis Root auf allen wichtigen Linux-Distributionen

• Copy Fail (CVE-2026-31431) ist eine kritische Schwachstelle in der authencesn-Verschlüsselungsvorlage des Linux-Kernels, die es einem nicht privilegierten lokalen Benutzer ermöglicht, Root-Rechte zu erlangen. Mit einem 732 Byte großen Exploit kann ein setuid-Binary modifiziert werden, um auf wichtigen Linux-Distributionen wie Ubuntu, Amazon Linux, RHEL und SUSE Root-Rechte zu erhalten.
• Die Schwachstelle geht auf einen Logikfehler zurück, bei dem Page-Cache-Seiten in eine beschreibbare scatterlist eingefügt werden. Dadurch wird ein kontrollierter 4-Byte-Schreibzugriff in den Page Cache jeder lesbaren Datei möglich. Da dabei die normalen Schreibpfade umgangen werden, bleiben die Prüfsummen auf der Festplatte unverändert, sodass der Exploit unauffällig ausgeführt werden kann.
• Der Exploit nutzt den AF_ALG-Socket-Typ und den Systemaufruf splice(), um Page-Cache-Seiten an das Kryptografie-Subsystem zu übergeben. Anschließend schreibt die Implementierung des authencesn-Algorithmus Daten über den vorgesehenen Ausgabepuffer hinaus in diese Page-Cache-Seiten.
  Dieser Bug ist distributions- und architekturübergreifend sehr portabel, benötigt nur minimalen Code (ein kurzes Python-Skript) und kann, weil der Page Cache systemweit geteilt wird, auch einen Container-Escape ermöglichen.
• Die eigentliche Ursache ist das Zusammenspiel von AF_ALG-AEAD-Unterstützung, dem splice()-Pfad, der Page-Cache-Seiten offenlegt, und insbesondere der Art, wie authencesn seit der In-Place-Optimierung von 2017 den Zielpuffer als Scratch-Speicher verwendet.
  Der Exploit zielt auf übliche setuid-Binaries wie /usr/bin/su ab. Dabei werden Teile des Binaries mit Shellcode überschrieben, sodass es mit Root-Rechten ausgeführt wird, wenn das Binary aus dem kompromittierten Page Cache geladen wird.
• Der im Mainline-Kernel eingespielte Fix setzt AF_ALG AEAD auf Out-of-Place-Verarbeitung zurück, trennt damit Quell- und Ziel-scatterlist effektiv und entfernt die Möglichkeit, in verkettete Page-Cache-Seiten zu schreiben.
  Zu den Abhilfemaßnahmen gehören Kernel-Patches und Paket-Updates der Distributionen; als sofortige Mitigation kann die Erzeugung von AF_ALG-Sockets per seccomp blockiert oder das Modul algif_aead auf die Blacklist gesetzt werden.
• Die Schwachstelle wurde vom Forschungsteam Xint Code unter Einsatz KI-gestützter Sicherheitsforschungstools entdeckt, basierend auf ersten Erkenntnissen von Taeyang Lee von Theori.