Die “Copy Fail”-Lücke stellt eine der gefährlichsten Linux-Schwachstellen des Jahres dar. Sie befindet sich in der Schnittstelle des algif_aead-Kryptographiealgorithmus des Linux-Kernels und ermöglicht es Angreifern, Root-Rechte zu erlangen. Besonders bemerkenswert ist die Zuverlässigkeit: Theori-Forscher beschrieben ihren Exploit als “100 Prozent zuverlässig” und demonstrierten ihn erfolgreich auf Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 und SUSE 16. Das gleiche Python-Skript funktionierte auf allen vier Systemen ohne Modifikation – ein starkes Indiz für die universelle Anfälligkeit.
Besonders alarmierend: Der Exploit funktioniert auf praktisch jeder Linux-Distribution, die seit 2017 mit einer anfälligen Kernel-Version ausgeliefert wurde. Das umfasst im Grunde alle großen Distributionen und damit Millionen von Servern, Cloud-Instanzen und Desktop-Systemen weltweit. In Deutschland betrifft das Unternehmen in kritischen Infrastrukturen, öffentliche Behörden und alle Organisationen, die Linux-Systeme betreiben.
Die CISA reagierte schnell: Am Freitag wurde CVE-2026-31431 ins KEV-Katalog aufgenommen. Der Binding Operational Directive (BOD) 22-01 verpflichtet US-Bundesbehörden nun, ihre Linux-Systeme bis zum 15. Mai zu patchen. Zwar gilt diese Richtlinie nicht direkt für deutsche Organisationen, doch CISA warnte ausdrücklich: “Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure.”
Deutsche Unternehmen sollten das BSI im Blick behalten – eine offizielle Warnung dürfte folgen. Für Organisationen, die unter die DSGVO fallen, ist die Sache ernst: Eine erfolgreiche Ausnutzung könnte zum Zugriff auf Nutzerdaten führen, was zu erheblichen Meldepflichten (Art. 33 DSGVO) und potenziellen Bußgeldern von bis zu 4 Prozent des Jahresumsatzes führt.
Zum Zeitpunkt der Veröffentlichung gab es noch keine offiziellen Updates von allen Anbietern, doch die großen Distributionen begannen zeitnah mit Kernel-Updates. Sicherheitsteams sollten diese Patches mit höchster Priorität einspielen.