Die Schwachstelle CVE-2026-46333 (CVSS-Score: 5,5) basiert auf mangelhafter Privilegienverwaltung in der Kernel-Funktion __ptrace_may_access(). Sie wurde bereits im November 2016 eingeführt, blieb aber jahrelang unentdeckt. “Das Exploit ist zuverlässig und verwandelt jede lokale Shell in einen Pfad zu Root-Zugriffen oder sensiblen Anmeldedaten”, erklärt Saeed Abbasi, Senior Manager der Threat Research Unit bei Qualys.
Besonders besorgniserregend ist die Vielfalt der Angriffsvektoren. Vier verschiedene Exploits könnten das Shadow-Passwort-File, SSH-Host-Keys und Root-Befehle über die Werkzeuge chage, ssh-keysign, pkexec und accounts-daemon kompromittieren. Für Systemadministratoren bedeutet dies, dass bereits kompromittierte Systeme als vollständig untrusted behandelt werden müssen.
Qualys empfiehlt sofortige Kernel-Updates für alle betroffenen Linux-Distributionen. Wer nicht unmittelbar aktualisieren kann, sollte als Zwischenlösung den Kernel-Parameter “kernel.yama.ptrace_scope” auf 2 setzen. Besonders kritisch: “Auf Systemen, auf denen während des Betrachtungszeitraums nicht vertraute lokale Nutzer Zugriff hatten, sollten SSH-Host-Keys und gecachte Anmeldedaten als potenziell kompromittiert behandelt werden. Host-Keys müssen rotiert und alle administrativen Materialien aus Set-UID-Prozessen überprüft werden.”
Dies ist nicht die einzige Kernel-Lücke in letzter Zeit. Das Sicherheitsteam Zellic und V12 Security haben parallel einen Local-Privilege-Escalation-Exploit namens PinTheft offengelegt, der auf Arch-Linux-Systemen root-Zugriff ermöglicht. PinTheft nutzt eine Double-Free-Anfälligkeit im RDS-Modul (Reliable Datagram Sockets) in Kombination mit io_uring, um Speicherüberschreibungen durchzuführen.
Deutsche Unternehmen und Behörden sollten ihre Systeme priorisieren und schnellstmöglich patchen. Insbesondere für produktive Infrastruktur empfiehlt sich eine Risikobewertung, ob ungepatchte Systeme exponiert sind.