Minderung von CVE-2026-31431 (“Copy Fail”) in Docker Engine

TL;DR

CVE-2026-31431, auch bekannt als “Copy Fail”, ist eine kürzlich entdeckte Privilegieneskalationsanfälligkeit im Linux-Kernel, die Docker -Umgebungen betrifft. Docker Engine-Versionen vor v29.4.3 sind potenziell anfällig, wenn sie auf ungeschützten Hosts betrieben werden. Eine Kernel-Aktualisierung ist die empfohlene Lösung, während Docker Maßnahmen ergriffen hat, um die Auswirkungen für betroffene Container zu minimieren.

Hauptinhalt

CVE-2026-31431 ist eine Sicherheitsanfälligkeit im AF_ALG-Kryptosubsystem des Linux-Kernels, die es unprivilegierten Benutzern ermöglicht, kontrollierte Schreibvorgänge im Page-Cache durchzuführen. Dies kann dazu führen, dass Angreifer die Inhalte lesbarer Dateien temporär verändern, was besonders gefährlich ist, wenn setuid-Binärdateien betroffen sind. Die Schwachstelle betrifft alle ungeschützten Linux-Kernel-Versionen seit 2017 und wurde öffentlich bekannt, bevor viele Linux-Distributionen entsprechende Kernel-Patches bereitstellen konnten.

Die Docker -Engine war betroffen, weil ihre Standard-Profile vor Version v29.4.3 das Erstellen von AF_ALG-Sockets erlaubten. Nutzer, die Docker Engine v29.4.3 oder höher verwenden oder deren Host-Kernel gepatcht ist, sind nicht gefährdet. Für Benutzer, deren Distributionen noch keine Kernel-Updates bereitgestellt haben, ist die Aktualisierung der Docker Engine die derzeitige Lösung.

Die erste Maßnahme zur Minderung der Anfälligkeit bestand darin, das Standard-secomp-Profil von Docker Engine zu aktualisieren, um AF_ALG-Sockets zu blockieren. Dies stellte sich jedoch als problematisch heraus, da ältere 32-Bit-Binärdateien auf die socketcall-Schnittstelle zurückgreifen, die mehrere Socket-Operationen über einen einzigen Systemaufruf bündelt. Das Blockieren von socketcall führte dazu, dass viele ältere Anwendungen und Spiele nicht mehr funktionsfähig waren.

Technische Details/Implikationen

Die Sicherheitsanfälligkeit ermöglicht es Angreifern, durch das Ausnutzen des Copy Fail-Exploits, der in Containern mit Standard-Sicherheitsprofilen läuft, auf den Page-Cache zuzugreifen und möglicherweise Root-Rechte zu erlangen. Da der Page-Cache zwischen Containern und dem Host geteilt wird, können die Auswirkungen nicht auf den angreifenden Container beschränkt werden. Dies bedeutet, dass andere Container und Anwendungen auf demselben Host ebenfalls betroffen sein können.

Die korrekte Lösung für die Schwachstelle ist ein Kernel-Update. Während Docker Maßnahmen zur Minderung der Anfälligkeit implementiert hat, bleibt die zugrunde liegende Schwachstelle bestehen, solange der Kernel nicht aktualisiert wird. Es ist wichtig, dass Administratoren sicherstellen, dass sie die aktuellsten Patches anwenden, um ihre Systeme zu schützen.

Fazit/Ausblick

Die Entdeckung von CVE-2026-31431 unterstreicht die Notwendigkeit, Sicherheitsupdates zeitnah anzuwenden und die Konfigurationen von Container-Umgebungen regelmäßig zu überprüfen. Die kontinuierliche Zusammenarbeit zwischen Kernel-Entwicklern und Container-Plattformanbietern ist entscheidend, um Sicherheitsanfälligkeiten effektiv zu adressieren und die Integrität der Systeme zu gewährleisten.