Eine neu entdeckte Schwachstelle im Linux-Kernel lässt sich nutzen, um dich lokal bis auf Root-Ebene hochzustufen. Was das Ganze besonders brisant macht: Für die Lücke kursieren bereits ein Proof of Concept und öffentliche Exploits. Wenn du Systeme mit Ubuntu, Debian oder Red Hat betreibst, solltest du den aktuellen Kernel-Patch zügig einspielen.
Was hinter der Lücke steckt
Die Schwachstelle trägt die Kennungen EUVD-2026-37039 und CVE-2026-46331 und erreicht einen CVSS-Score von 7.8. Sie sitzt im Traffic-Control-Subsystem des Kernels, genauer im Modul act_pedit. Der Fehler: Eine fehlende Bounds-Check erlaubt Schreibzugriffe außerhalb des vorgesehenen Speicherbereichs. Dadurch lässt sich der Page-Cache beschädigen, und ein Angreifer mit lokalem Konto kann sich Root-Rechte verschaffen.
Damit das funktioniert, braucht es zwei Voraussetzungen. Der Angreifer muss Traffic Control (tc) konfigurieren können, ein Linux-Feature zur Steuerung von Netzwerkverkehr, in dem auch pedit zum Einsatz kommt. Und er benötigt die Capability CAP_NET_ADMIN. Beides ist nicht trivial zu bekommen, aber die öffentlich verfügbaren Exploits senken die Hürde für Angreifer deutlich, auch wenn aktuell keine aktive Ausnutzung bekannt ist.
Was du jetzt tun solltest
Der Fehler ist bereits per Upstream-Patch behoben, der Schreibzugriffe auf den zulässigen Bereich beschränkt und zusätzlich auf Integer-Overflows prüft. Bis dein System versorgt ist, helfen dir folgende Schritte:
- Aktualisiere so schnell wie möglich auf einen gepatchten Kernel.
- Schränke die Vergabe von CAP_NET_ADMIN ein.
- Deaktiviere unnötige tc-Regeln zur Paketbearbeitung.
- Begrenze die Nutzung nicht privilegierter User-Namespaces.
- Starte das System nach der Installation des korrigierten Kernels neu.
Angesichts der frei verfügbaren Exploits lohnt es sich, das Update nicht auf die lange Bank zu schieben.