Wie ein fehlender Copy-on-Write-Schutz das Sicherheitsmodell des Linux-Kernels aushebelte

Eine millionenschwere Verteidigungsstrategie beruht in der Regel auf der Annahme, dass der Kern des Betriebssystems ein statischer, undurchdringlicher Tresor ist. Wir verbringen Jahre damit, Firewall-Regeln, Identitätsanbieter und Endpunkterkennungsskripte zu verfeinern, doch das architektonische Fundament bleibt oft die fragilste Komponente. Linux verwendet eine Optimierung namens Copy-on-Write (COW), um die Speichereffizienz zu verwalten. Dieses System stellt sicher, dass mehrere Prozesse denselben physischen Speicher teilen, bis einer ihn modifizieren muss. An diesem Punkt soll der Kernel eine private Kopie erstellen, um zu verhindern, dass die Änderung andere Benutzer betrifft. Im Fall von CVE-2026-31635 versagte dieses grundlegende Versprechen.

Ich habe die letzten 48 Stunden damit verbracht, den für DirtyDecrypt (auch bekannt als DirtyCBC) veröffentlichten Proof-of-Concept-Code zu prüfen. Die Schwachstelle ist ein Paradebeispiel für ein architektonisches Paradoxon. Genau der Mechanismus, der den Linux-Kernel schnell und speichereffizient machen soll, ist der Mechanismus, der es einem nicht privilegierten Benutzer ermöglichte, Dateien im Besitz von Root zu überschreiben. Dies ist die dritte große Variation dieser spezifischen Speicherkorruptionslogik, die wir in ebenso vielen Monaten gesehen haben. Es erinnert mich an ein Schiff, dessen Rumpf von außen undurchdringlich ist, sich aber auflöst, sobald er mit dem eigenen internen Treibstoff in Berührung kommt.

Die Mechanik der rxgk-Pagecache-Schwachstelle

Der Defekt befindet sich innerhalb der Funktion rxgk_decrypt_skb. Dieser Code verarbeitet die Entschlüsselung eingehender Socket-Puffer auf der Empfangsseite des Netzwerkstacks. Wenn der Kernel diese Puffer verarbeitet, hantiert er mit Speicherseiten, die manchmal mit dem Pagecache anderer Prozesse geteilt werden. Unter normalen Bedingungen löst der Linux-Kernel eine Copy-on-Write-Operation aus, bevor ein Schreibvorgang auf einer geteilten Seite erfolgt. Dies verhindert, dass Daten eines Prozesses in den Speicherbereich eines anderen übergehen.

Forscher von Zellic entdeckten, dass rxgk_decrypt_skb dieser COW-Schutz fehlte. Wenn der Kernel Daten in einen Puffer entschlüsselt, der zufällig eine geteilte Seite ist, schreibt er den entschlüsselten Inhalt direkt in den physischen Speicher, ohne vorher eine private Kopie zu erstellen. Dies umgeht die Standard-Dateisystemberechtigungen und den Speicherschutz. Ein Angreifer kann eine sensible Datei wie /etc/shadow oder eine SUID-Binärdatei in seinen Speicherbereich mappen und dann den verwundbaren Netzwerkpfad nutzen, um den Kernel zu zwingen, Daten in den Pagecache dieser Datei zu schreiben. Sobald der Kernel den Pagecache auf die Festplatte schreibt, wird die Änderung dauerhaft.

Die Abstammungslinie von Copy Fail bis DirtyDecrypt

DirtyDecrypt ist kein isolierter Vorfall. Es ist ein Abkömmling einer Familie von Schwachstellen, die im April 2026 mit Copy Fail (CVE-2026-31431) begann. Forscher von Theori stellten zuerst fest, dass die kryptografische Socket-Schnittstelle im Kernel ähnliche Logikfehler aufwies. Eine Woche später tauchte Dirty Frag auf. Darauf folgte Fragnesia, das auf das XFRM-Subsystem abzielte. Jede dieser Schwachstellen teilt dieselbe Grundursache: ein Versäumnis, den Seitenbesitz zu verifizieren, bevor Schreibvorgänge auf Kernelebene durchgeführt werden.

Diese Abfolge von Offenlegungen verdeutlicht ein systemisches Problem bei der Handhabung moderner Netzwerk-Speicheroptimierungen im Linux-Kernel. Die Einführung von MSG_SPLICE_PAGES und anderen hochperformanten Zero-Copy-Mechanismen hat eine Komplexität eingeführt, die die aktuelle COW-Infrastruktur nur schwer regulieren kann. Der als 0xdeadbeefnetwork bekannte Forscher merkte an, dass, sobald ein Fix für eine Variante im öffentlichen Tree landet, die Bewaffnung der nächsten Variante eine Standardübung für Sicherheitsexperten ist. Dieser schnelle Zyklus der N-Day-Entwicklung ist eine Mahnung, dass ein Patch in einem Subsystem nicht die Sicherheit eines anderen garantiert, das eine ähnliche Logik verwendet.

Warum bestimmte Distributionen in der Schusslinie bleiben

Die Auswirkungen von CVE-2026-31635 hängen stark von der Kernel-Konfiguration ab. Die Schwachstelle erfordert, dass die Option CONFIG_RXGK aktiviert ist. Aus diesem Grund sind Distributionen wie Fedora, Arch Linux und openSUSE Tumbleweed einem höheren Risiko ausgesetzt. Diese Distributionen bevorzugen oft modernste Funktionen und eine breitere Hardwareunterstützung, was die Aktivierung spezialisierter Netzwerk- und Kryptografiemodule einschließt, die in konservativeren Enterprise-Releases wie RHEL oder Debian Stable deaktiviert sind.

In Cloud-Umgebungen stellt diese Schwachstelle ein erhebliches Risiko für die Container-Isolierung dar. Wenn ein Worker-Node einen verwundbaren Kernel ausführt, kann ein kompromittierter Container das DirtyDecrypt-Primitiv nutzen, um aus seiner lokalen Umgebung auszubrechen. Durch das Überschreiben des Pagecache für gemeinsam genutzte Binärdateien oder Kernel-Strukturen kann der Angreifer von einem eingeschränkten Pod zu vollem Root-Zugriff auf dem Host gelangen. Dies bringt das Multi-Tenant-Sicherheitsmodell, auf das sich Kubernetes und andere Orchestrierer für die Workload-Isolierung verlassen, effektiv zum Einsturz.

Die Killswitch-Debatte und die Zukunft des Kernel-Patchings

Die Menge an Kernel-Offenlegungen hat zu einem Umdenken bei der Verwaltung der Linux-Sicherheit geführt. Sasha Levin, ein prominenter Kernel-Maintainer, schlug kürzlich einen Kernel-Killswitch vor. Dieses Tool ermöglicht es einem Administrator, eine spezifische Kernel-Funktion zur Laufzeit ohne Neustart zu deaktivieren. Wenn eine Zero-Day-Schwachstelle wie DirtyDecrypt in einer bestimmten Netzwerkfunktion entdeckt wird, kann der Administrator dem Kernel befehlen, die Ausführung dieser Funktion zu stoppen und stattdessen einen festen Wert zurückzugeben. Dies fungiert als Notabschaltventil für den Schiffsrumpf, während ein permanenter Patch vorbereitet wird.

Einige Entwickler sorgen sich um die Sicherheitsimplikationen des Killswitches selbst. Wenn ein Angreifer genügend Privilegien erlangt, um den Killswitch zu betätigen, könnte er theoretisch Sicherheitsmodule oder Audit-Funktionen deaktivieren. Die aktuelle Realität des Linux-Ökosystems ist jedoch, dass das Patching für die Geschwindigkeit der modernen Exploit-Entwicklung zu langsam ist. Der Killswitch bietet eine reaktive Maßnahme für Organisationen, die nicht auf einen vollständigen Regressionstest einer neuen Kernel-Version warten können. Er ist eine pragmatische Antwort auf die Tatsache, dass unsere Software zunehmend zu komplex ist, um fehlerfrei zu sein.

Rocky Linux und der Schritt zu beschleunigten Sicherheitsfixes

Rocky Linux hat einen anderen Ansatz gewählt und ein spezielles Sicherheits-Repository eingeführt. Traditionell warten Downstream-Distributionen darauf, dass Upstream-Anbieter einen geprüften Patch veröffentlichen, bevor sie Updates an ihre Benutzer ausliefern. Dies schafft ein Zeitfenster der Verwundbarkeit, wenn ein PoC öffentlich ist, das offizielle Update aber in einem QA-Zyklus feststeckt. Das neue Rocky Linux Sicherheits-Repository ist eine Opt-in-Funktion, die dringende Fixes ausliefert, sobald sie verfügbar sind, selbst wenn sie den Mainline-Kernel noch nicht erreicht haben.

Dieser Schritt ist umstritten, da er die strikte Upstream-Kompatibilität bricht. Wenn das Rocky Linux-Team einen Fehler behebt und die Upstream-Maintainer später einen anderen Fix wählen, werden die beiden Kernel divergieren. Die Maintainer erkennen dieses Risiko an, glauben aber, dass der Schutz ihrer Benutzer wichtiger ist als eine perfekte Versionsübereinstimmung. Dies spiegelt einen breiteren Wandel in der Branche wider, Agilität angesichts aktiver Ausnutzung zu priorisieren. Für Administratoren bedeutet dies eine Wahl zwischen der Stabilität des traditionellen Release-Zyklus und der Resilienz einer aggressiveren Patching-Strategie.

Risikominderung in containerisierten und Bare-Metal-Umgebungen

Die Verteidigung gegen CVE-2026-31635 erfordert mehr als nur ein Standard-Update. Organisationen müssen zuerst prüfen, ob ihre Systeme überhaupt verwundbar sind. Die Überprüfung der Kernel-Konfiguration auf CONFIG_RXGK ist der erste Schritt. Wenn das Modul aktiviert ist, aber für Ihren Workload nicht benötigt wird, ist die Deaktivierung über eine Kernel-Modul-Denylist die effektivste sofortige Maßnahme. Dies entfernt die Angriffsfläche vollständig, in einigen Fällen ohne die Notwendigkeit eines Neustarts.

Aus Risikoperspektive sollten Sie davon ausgehen, dass lokale Benutzer die Fähigkeit haben, diesen PoC auszuführen, wenn sie Shell-Zugriff haben. Dies macht eine strikte Überwachung des /etc/-Verzeichnisses und von SUID-Binärdateien unerlässlich. Moderne Sicherheitstools, die die Integrität des Pagecache überwachen, können Sie warnen, wenn ein Prozess versucht, schreibgeschützte Dateien über unkonventionelle Speicherpfade zu ändern. Patching bleibt der Goldstandard, aber bis Ihre Flotte aktualisiert ist, können restriktive Seccomp-Profile und AppArmor-Richtlinien die Fähigkeit lokaler Prozesse einschränken, mit den verwundbaren Netzwerkfunktionen zu interagieren.

Prüfen Sie Ihre Kernel-Konfiguration und verifizieren Sie, ob Ihre Distribution einen Fix für CVE-2026-31635 veröffentlicht hat. Organisationen, die Arch oder Fedora einsetzen, sollten diese Updates sofort priorisieren. Wenn Sie eine große Flotte von Linux-Servern verwalten, ziehen Sie die langfristigen Auswirkungen der Verwendung von Kerneln mit breitem Funktionsumfang in Betracht und evaluieren Sie, ob eine gehärtete, minimale Kernel-Konfiguration für Ihre Sicherheitslage angemessener ist.

Quellen

• NIST National Vulnerability Database (NVD) CVE-2026-31635 Record
• Linux Kernel Mailing List (LKML) Killswitch Proposal by Sasha Levin
• Zellic and V12 Security Technical Report on DirtyDecrypt
• Rocky Linux Security Repository Documentation
• MITRE ATT&CK Framework: Exploitation for Privilege Escalation (T1068)

Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und Bildungszwecken. Er ersetzt keine professionelle Cybersicherheitsprüfung oder einen Incident-Response-Service. Die bereitgestellten technischen Details sollen Administratoren helfen, die Risiken zu verstehen und notwendige Abwehrmaßnahmen zu implementieren.