Das Problem ist als CVE-2026-31431 bekannt und auf der Seite copy.fail dokumentiert. Um das Problem auszunutzen, sind mehrere Bedingungen zu erfüllen:
- Es erfordert eine Session auf dem Rechner.
- Python muss installiert sein (ist aber fast immer der Fall).
Mit dem Python Script wird eine Lücke beim überprüfen von Schreibzugriffen auf den Page-Cache ausgenutzt um eine Binärdatei mit setuid-Flag zu manipulieren. Sobald das Programm (die Binärdatei) dann als root ausgeführt wird, ist das System kompromittiert. Da die Änderung nur im Hauptspeicher und nicht auf der Disk passiert, laufen alle Checksummen-Prüfungen von diversen Tools ins leere.
Seitens RedHat wird bestätigt, dass RHEL 8, 9 und 10 betroffen sind. Oracle hat sich dazu noch nicht geäußert (Do, 30. April 11Uhr MEST).
Es ist davon auszugehen, dass es in den nächsten Tagen einen Patch geben wird, der dann baldmöglichst eingespielt werden sollte.
Update vom Mo, 4. Mai 2026 für Oracle Linux
Oracle hat mit etwas Verzögerung reagiert. Betroffen sind neben den RHEL Kernel 8, 9 und 10 auch alle UEKs für OL7, 8, 9 und 10. Die Patches stehen seit 1. bzw 2. Mai 2026 für alle genannten Versionen zur Verfügung. Für die Installation ist ein Reboot notwendig.
Update vom Di, 5. Mai 2026 für RHEL 8, 9 und 10
Es gibt jetzt für die drei Releases ebenfalls abgesicherte Kernels.