EUVD-2026-37039 / CVE-2026-46331 Riskante Schwachstelle im Linux-Kernel mit PoC und Exploits

Von Melanie Staudacher 2 min Lesedauer

Anbieter zum Thema

Eine Schwachstelle im Linux-Kernel ermöglicht lokale Privilegieneskalation bis Root. Für die Sicherheitslücke existieren bereits Proof of Concept und Exploits. Updates für betroffene Distributionen sollten zeitnah eingespielt werden.

Cyberkriminelle können diverse Linux-Versionen angreifen und ihre Privilegien bis auf Root-Ebene eskalieren.(Bild:  Dall-E / Vogel IT-Medien GmbH / KI-generiert)
Cyberkriminelle können diverse Linux-Versionen angreifen und ihre Privilegien bis auf Root-Ebene eskalieren.
(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Administratoren sollten baldmöglichst den jüngsten Patch für den Linux-Kernel einspielen, der Distributionen wie Ubuntu, Debian und Red Hat betrifft. Denn für die darin enthaltende Sicherheitslücke EUVD-2026-37039 / CVE-2026-46331 (CVSS-Score 7.8, EPSS-Score* 0.26) gibt es bereits eine Proof of Concept und noch schlimmer: einen öffentlichen Exploit. Damit ist es Angreifern ein leichtes, ihre Zugriffsrechte bis auf Root-Ebene zu erweitern und die zugrundeliegenden Systeme zu kontrollieren.

Exploit erleichtert Ausnutzung

Der Fehler, der sich hinter EUVD-2026-37039 / CVE-2026-46331 verbirgt, betrifft das Traffic-Control-Subsystem (act_pedit) des Linux-Kernels. Wie Red Hat erläutert, ermöglicht eine fehlende Überprüfung der Grenzen (Bounds Check) einen Schreibzugriff außerhalb des zulässigen Bereichs, wodurch der Page-Cache-Speicher beschädigt werden kann. Ein Benutzer mit lokalem Konto könnte so Administratorrechte mit Root-Zugriff erlangen. Dafür muss er Traffic Control (tc) konfigurieren können. Das ist ein Linux-Feature zur Manipulation von Netzwerkverkehr, in dem auch „pedit“ verwendet wird. Und er benötigt die Berechtigung „CAP_NET_ADMIN“. Diese Anforderungen sind nicht trivial, doch die Tatsache, dass es auf GitHub mehrere Exploits und einen Proof of Concept gibt, erleichtert eine Attacke dennoch.

Gelöst wurde das Problem mit einem Upstream-Kernel-Patch, der dafür sorgt, dass nur die zulässigen Bereiche zur Laufzeit sicher beschrieben werden können und eine Überprüfung des Integer-Überlaufs hinzufügt. Bisher gibt es zwar keine Hinweise auf ihre aktive Ausnutzung, doch mit den öffentlichen Ressourcen wäre es für professionelle Kriminelle keine allzu große Herausforderung. Nutzer sollten deswegen schnellstmöglich

  • auf einen gepatchten Linux-Kernel aktualisieren,
  • „CAP_NET_ADMIN“ einschränken,
  • unnötige tc-Regeln zur Paketbearbeitung deaktivieren,
  • nicht privilegierte User Namespaces einschränken und
  • nach der Installation des korrigierten Kernels einen Neustart durchführen.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50887992)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung