Die Schwachstelle betrifft die ptrace-Funktion des Linux-Kernels, über die ein Prozess einen anderen beobachten und dessen Speicher auslesen kann. Bei der Zugriffsprüfung durch die Kernel-Funktion, die entscheidet, ob ein Prozess einen anderen inspizieren darf, wurde ein Merkmal herangezogen, das eigentlich nur beschreibt, ob ein Prozess ein Speicherabbild (Core-Dump) erzeugen kann. Dieses Merkmal wurde auch auf Abläufe angewendet, die gar kein zugehöriges Speicherabbild besitzen – etwa reine Kernel-Threads. Die Prüfung verlangte zwar übereinstimmende Benutzer- und Gruppenkennungen, sodass nur ein Prozess mit Rechten des Systemkontos die Details solcher Kernel-Threads einsehen konnte. Das eigentliche Problem: Das übliche Sicherheitsmodell, bei dem ein privilegierter Prozess seine Fähigkeiten gezielt ablegt, hatte hier keine Wirkung – der Zugriff blieb trotz abgelegter Berechtigungen möglich. Die Korrektur verlangt für ein solches Übergehen nun ausdrücklich die dafür vorgesehene Berechtigung zur Prozessüberwachung.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel GitHub-Einbruch über manipulierte Nx-Console-Erweiterung: 3.800 Repositories abgeflossen 25.05.2026
- Artikel Neun Jahre alte Linux-Kernel-Lücke ermöglicht Codeausführung als Root 21.05.2026
- Artikel DirtyDecrypt: PoC-Exploit für Linux-Kernel-Lücke CVE-2026-31635 veröffentlicht 19.05.2026
- Artikel Aktiv ausgenutzte Zero-Day-Lücke in On-Premises-Exchange-Servern 18.05.2026