Die Sicherheitsforscher von Theori entdeckten die Schwachstelle mit Hilfe ihrer KI-gestützten Penetrationstesting-Plattform Xint Code nach einer einstündigen Analyse des Linux-Crypto-Subsystems. Das Unternehmen meldete den Fund am 23. März dem Linux-Kernel-Sicherheitsteam – innerhalb einer Woche waren erste Patches verfügbar. Gestern wurden technische Details und ein Proof-of-Concept-Exploit öffentlich gemacht.
Die technische Seite des Problems
Copy Fail ist ein Logikfehler im kryptographischen Template des Linux-Kernels. Der Fehler ermöglicht es authentifizierten Nutzern, eine kontrollierte 4-Byte-Schreiboperation in den Page Cache einer beliebigen lesbaren Datei durchzuführen – eigentlich sollte dies nicht möglich sein. Möglich wird dies durch die Kombination der AF_ALG-Socket-Schnittstelle (die Zugriff auf Linux-Kernel-Kryptofunktionen aus dem Userspace bietet) und des splice()-Systemaufrufs.
Der kritische Punkt: Treffen diese 4 Bytes auf ein setuid-root-Binary, können sie dessen Verhalten manipulieren und dem Angreifer Root-Privilegien verschaffen. Der Fehler wurde 2017 eingeführt, als der Linux-Kernel-Team eine “in-place”-Optimierung im Crypto-Pfad hinzufügte – seitdem werden Input- und Output-Buffer nicht strikt getrennt, sondern wiederverwendet.
Breiter und zuverlässiger als Dirty Pipe
Theori hat den Exploit auf vier großen Distributionen erfolgreich getestet: Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 und SUSE 16. Die Forscher behaupten, dass die Python-basierte Exploit-Script mit 100-prozentiger Zuverlässigkeit funktioniert. Im Vergleich zur bekannten “Dirty Pipe”-Schwachstelle ist Copy Fail überlegen: Während Dirty Pipe spezifische Kernel-Versionen (ab 5.8) mit bestimmten Patches benötigte, funktioniert Copy Fail auf dem gesamten Zeitraum von 2017 bis 2026. Ein Script, alle Distributionen, keine Offsets – maximale Portabilität.
Patches und Übergangslösungen
Die Upstream-Fixes wurden am 1. April zur Verfügung gestellt und in den Kernel-Versionen 6.18.22, 6.19.12 und 7.0 enthalten – die problematische “in-place”-Optimierung wurde rückgängig gemacht. Allerdings gibt es noch kein einheitliches Vorgehen: Während Fedora 42 und neuer Updates erhalten haben, fehlen offizielle Sicherheitshinweise bei anderen Distributionen.
Für Systeme, die noch nicht aktualisiert wurden, empfehlen die Forscher als Notlösung, die anfällige Crypto-Schnittstelle zu deaktivieren – etwa durch Blockieren der AF_ALG-Socket-Erstellung oder durch Deaktivieren des algif_aead-Moduls.
Theori rät, Multi-Tenant-Linux-Hosts, Kubernetes-Cluster, CI/CD-Umgebungen und Cloud-Services, die Code von Nutzern ausführen, prioritär zu patchen. Für deutsche Unternehmen und Behörden sollte die Aktualisierung ihrer Linux-Infrastrukturen höchste Priorität haben.