Die Sicherheitslücke „Copy Fail” offenbart einen grundlegenden Logikfehler in der AEAD-Authentifizierungsvorlage (Authenticated Encryption with Associated Data) des Linux-Kernels. Diese Komponente wird für IPsec-Verbindungen mit Extended Sequence Number (ESN) Support verwendet. Das Problem liegt darin, dass der Kernel Page-Cache-Seiten in eine beschreibbare Scatterliste einfügt, die von authencesn als Arbeitsspeicher genutzt wird. Eine 2017 eingeführte Optimierung verschärfte das Problem zusätzlich.
Beim Umordnen von Bytes im Arbeitsspeicher schreibt authencesn vier Bytes über das AEAD-Tag hinaus — direkt in die Cache-Kopie einer anderen Datei. Dies ermöglicht es lokalen Angreifern, die In-Memory-Kopie beliebiger setuid-root-Binärdateien zu manipulieren und damit Root-Shell-Zugriff zu erlangen. Besonders tückisch: Alle Änderungen erfolgen ausschließlich im RAM; die Dateien auf der Festplatte bleiben unauffällig unverändert.
Theori demonstrierte die Exploitierbarkeit mit einem simplen 732-Byte-Python-Skript — ein Zeichen, wie kritisch diese Lücke ist. Das Risiko für Multi-Tenant-Umgebungen, Container mit geteiltem Kernel und CI/CD-Runner ist enorm. Jedes System, das seit 2017 Untrusted Code ausführt, könnte kompromittiert sein.
Die Lücke unterscheidet sich von früheren Kernel-Fehlern wie Dirty Pipe oder Dirty Cow, die ähnliche Auswirkungen, aber unterschiedliche Angriffsquellen hatten. Copy Fail exploitiert hingegen direkt die Page-Cache-Architektur.
Das BSI und der Bundesbeauftragte für Datenschutz (BfDI) sollten Unternehmen zur sofortigen Aktualisierung auffordern. Patches wurden bereits verteilt: Sie revertieren die problematische 2017er-Optimierung und nutzen wieder separate Speicherbereiche statt in-place-Operationen. Deutsche Systemadministratoren sollten sofort ihre Distributionen überprüfen und Sicherheitsupdates einspielen — besonders kritisch für Server in Cloud-Infrastrukturen und Container-Plattformen.