Zur Startseite

Kritische Linux-Kernel-Sicherheitslücke CVE-2026-31431

So überprüfen Sie Ihren Server und beheben die Schwachstelle im kryptografischen Subsystem des Linux-Kernels.

Im kryptografischen Subsystem des Linux-Kernels (Schnittstelle AF_ALG) wurde eine kritische Sicherheitslücke CVE-2026-31431 entdeckt, die es einem lokalen Benutzer ermöglicht, Rechte auf root zu eskalieren.

Auf einem gewöhnlichen Server bedeutet dies eine nicht autorisierte Rechteausweitung. In containerisierten Umgebungen (Docker, Kubernetes) kann die Sicherheitslücke genutzt werden, um aus dem Container auszubrechen und die vollständige Kontrolle über das Host-System zu erlangen.

CentOS 7 und Distributionen, die ältere Kernel-Branches verwenden, sind nicht betroffen.

Server prüfen

Führen Sie den folgenden Befehl im Terminal aus, um zu prüfen, ob Ihr System verwundbar ist:

python3 -c "
import socket, sys
try:
    s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
    s.bind(('aead', 'authencesn(hmac(sha256),cbc(aes))'))
    print('VULNERABLE')
    sys.exit(1)
except OSError as e:
    print('Not vulnerable:', e)
    sys.exit(0)
"

Wenn die Ausgabe VULNERABLE enthält, ist Ihr System betroffen und sofortiges Handeln ist erforderlich.

Gegenmaßnahmen

Bis ein offizieller Patch veröffentlicht wird, deaktivieren Sie das betroffene Kernel-Modul.

Ubuntu, Debian und ähnliche Systeme

# Blacklist-Konfiguration erstellen
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

# Modul entladen, falls aktuell geladen
rmmod algif_aead 2>/dev/null || true

Wenn Sie Ubuntu mit aktivierten Auto-Updates verwenden (standardmäßig aktiviert), müssen Sie den obigen Schritt nicht durchführen.

CentOS, RHEL, AlmaLinux, Rocky Linux

# Blacklist über die Kernel-Kommandozeile (bleibt nach Updates erhalten)
grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"

# Neu starten, um die Änderung anzuwenden
reboot -h now

Nachdem Sie die temporäre Lösung angewendet haben, beobachten Sie die offiziellen Repositories Ihrer Distribution und installieren Sie den Kernel-Patch, sobald er verfügbar ist.

Quellen

Hilfe

Bei Fragen oder wenn Sie Unterstützung brauchen, erreichen Sie uns jederzeit über das Ticketsystem — wir helfen Ihnen gern weiter!

Hilfe benötigt?Unsere Ingenieure helfen Ihnen kostenlos bei jeder Frage in wenigen MinutenKontaktieren Sie uns