CIFSwitch-Lücke: Linux-Kernel-Bug von 2007 ermöglicht Root-Zugriff

Sicherheitsforscher haben Angriffsmethoden veröffentlicht, mit denen unprivilegierte Nutzer volle administrative Kontrolle übernehmen können. Besonders betroffen sind gängige Distributionen wie Linux Mint, CentOS und Ubuntu.

Warum 85% der Top-Supercomputer auf Linux setzen und wie Sie die Vorteile von Ubuntu trotz aktueller Sicherheitsfragen risikolos testen können, erfahren Sie in diesem Paket. Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Linux Startpaket inkl. Ubuntu Vollversion jetzt kostenlos sichern

CIFSwitch: Eine 19 Jahre alte Schwachstelle

Am 28. Mai 2026 enthüllte der Forscher Asim Manizada eine Sicherheitslücke namens CIFSwitch. Sie betrifft das CIFS-Protokoll zur Dateifreigabe und erlaubt Angreifern, durch manipulierte Schlüsselbeschreibungen schadhafte Module zu laden. Entdeckt wurde der Fehler mithilfe KI-gestützter Analyse – der zugrundeliegende Kernel-Bug existiert seit 2007.

Bestätigt betroffen sind Linux Mint 21.3 und 22.3, CentOS Stream 9, Rocky Linux 9 sowie AlmaLinux 9.7. Auch Ubuntu 18.04 bis 22.04 LTS und Debian 11 bis 13 sind verwundbar, sofern das Paket cifs-utils installiert ist und bestimmte Sicherheitsrichtlinien großzügig konfiguriert wurden.

Die Entwicklerteams haben bereits Kernel-Patches bereitgestellt. Bis zur Installation empfehlen Experten, das cifs-Modul zu blockieren oder unprivigelierte Benutzernamensräume zu deaktivieren.

Docker-Update schließt „Copy Fail"-Lücke

Einen Tag zuvor, am 27. Mai 2026, veröffentlichte Docker die Version 29.4.3 seiner Engine. Sie entschärft die als CVE-2026-31431 bekannte Schwachstelle „Copy Fail". Der Fehler im AF_ALG-Kryptosubsystem existiert seit 2017 und ermöglicht kontrollierte Schreibzugriffe auf den Seiten-Cache. Im schlimmsten Fall könnten Angreifer kritische Systemdateien manipulieren oder aus Containern ausbrechen.

Die US-Cybersicherheitsbehörde CISA hatte „Copy Fail" bereits am 1. Mai 2026 in ihre Liste bekannter ausgenutzter Schwachstellen aufgenommen. Während Kernel-Patches für Debian und RHEL 9 vorliegen, fehlen sie für andere Distributionen wie Ubuntu noch. Docker nutzt nun AppArmor- und SELinux-Richtlinien, um das verwundbare Subsystem vorläufig zu blockieren.

Neue Exploits für PinTheft und Dirty Frag

Ebenfalls am 27. Mai veröffentlichte das Sicherheitsteam V12 einen Proof-of-Concept-Exploit für die PinTheft-Lücke. Sie betrifft das RDS-Modul (Reliable Datagram Sockets) und ist besonders für Arch Linux relevant, wo das Modul standardmäßig aktiviert ist. Der Exploit nutzt einen Double-Free-Fehler, um den Seiten-Cache zu überschreiben und Root-Rechte zu erlangen.

Bereits Anfang Mai waren die Schwachstellen Dirty Frag (CVE-2026-43284, entdeckt am 8. Mai) und Fragnesia (CVE-2026-46300, entdeckt am 13. Mai) öffentlich geworden. Sie betreffen Logikfehler in der Kernel-Verarbeitung von ESP- und RxRPC-Protokollen. Sicherheitsanalysten bestätigen eine hohe Erfolgsrate der Exploits auf aktuellen Distributionen wie Ubuntu 24.04.4, RHEL 10.1 und Fedora 44.

Angesichts der aktuellen Sicherheitsrisiken ist ein stabiles und gewartetes System entscheidend für Ihre digitale Sicherheit. Mit Ubuntu aus dem Gratis-Startpaket wird der Rechner schneller, sicherer und stabiler. Kostenloses Ubuntu-Startpaket inklusive Schritt-für-Schritt-Anleitung herunterladen

BSI warnt – Industrie reagiert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 27. Mai aktualisierte Warnungen zu mehreren Linux-Kernel-Schwachstellen herausgegeben, die bereits Anfang April gemeldet wurden. Die als mittelschwer eingestuften Lücken könnten Denial-of-Service-Angriffe ermöglichen oder Sicherheitsmechanismen auf Cloud- und Unternehmensplattformen umgehen – darunter Amazon Linux 2, Red Hat und Microsoft Azure Linux.

Als Reaktion auf die systemischen Risiken haben Industrieausrüster wie Moxa vorläufige Richtlinien für ihre Produkte veröffentlicht. Sie empfehlen, bestimmte Kernel-Module wie algif_aead und rxrpc auf die schwarze Liste zu setzen, um lokale Rechteausweitungen zu verhindern – bis dauerhafte Patches für ihre eingebetteten Systeme validiert sind.

de | wissenschaft | 69438804 |