CVE-2026-31431: Linux-Kernel LPE in CISA KEV

SCHOCK fuer Linux-Admins: Die US-Behoerde CISA hat CVE-2026-31431 in die Known Exploited Vulnerabilities-Liste gehoben. Dahinter steckt eine lokale Privilege-Escalation im Linux-Kernel, die unprivilegierte User innerhalb von Sekunden zum Root macht. Die Hacker nutzen das schon im Feld aus — und federale US-Behoerden haben ab heute eine harte Deadline zum Patchen.

UNGLAUBLICH: Vom Shell-Account direkt zur Total-Uebernahme

Die Luecke laesst sich von jedem User mit Shell-Zugang triggern. Kein Phishing, kein Trick, keine Kette — ein einfacher Shell-Account auf einer Maschine reicht, um vollstaendige Root-Privilegien zu uebernehmen. Damit ist die Luecke Gift fuer:

Hoster und Shared-Hosting-Provider, wo viele Kunden auf einer Maschine sitzen.
Universitaets- und Forschungs-Cluster mit zentralem Login-Server.
Homelabs mit Gaesten oder Familienmitgliedern, die SSH-Zugang haben.
CI-/Container-Builder, sobald ein Build-Runner auf einer geteilten Host-Maschine laeuft.

Red Hat fuehrt die Schwachstelle als Important. CISA-Direktor weist die Federal Civilian Executive Branch (FCEB) per ND25 an, den Patch innerhalb von 21 Tagen einzuspielen — also bis Mitte Juni.

So pruefst du in 30 SEKUNDEN, ob du verwundbar bist

Schiess das Terminal an und lies deinen Kernel:

uname -r

Bist du auf 6.18.30 (LTS) oder neuer, oder auf 7.0.10 oder neuer — alles gut. Auf jeder aelteren Linie bist du verwundbar. Distributions-Patches sind in Ubuntu 24.04/26.04, Debian 13.5, RHEL 9.7/10.2, Fedora 44, Arch und openSUSE Tumbleweed bereits drin.

EXTRA-TIPP: Container schuetzen NICHT

Achtung — wer denkt, dass Docker- oder Podman-Container schon ausreichend Schutz sind, irrt. Die Luecke sitzt im Host-Kernel, und Container teilen sich den. Sobald ein Angreifer mit Shell-Zugang im Container die Luecke ausnutzt, ist er Root auf dem Host. Container helfen hier nur, wenn du User Namespaces + Seccomp aktiv hast, was bei Default-Docker NICHT der Fall ist.

FAZIT: SOFORT updaten

Kein Workaround, kein Mitigations-Knopf, kein „kann ich am Wochenende machen“. Patch heisst Kernel-Upgrade, Reboot, fertig. Wer einen Live-Patching-Service nutzt (Ubuntu Pro, Oracle Ksplice, kpatch), kommt sogar ohne Reboot durch. Alle anderen: Maintenance-Fenster setzen, Update einspielen, Server neu starten.

Haeufige Fragen

Welche Kernel-Versionen sind betroffen?

Alle LTS- und Stable-Linien vor 6.18.30 und 7.0.10. Das schliesst auch die LTS-Linien 6.6, 6.12 und 6.18 vor ihren jeweiligen Patch-Drops ein. Greg Kroah-Hartman hat alle vier LTS-Linien parallel nachgezogen — sieh nach, welche dein System nutzt.

Brauche ich nach dem Update einen Reboot?

Ja. Der Kernel laeuft als geladenes Modul im RAM, ein Patch wird erst nach einem Reboot aktiv. Ausnahmen: Ubuntu Livepatch, Oracle Ksplice oder kpatch koennen die Patches im laufenden Kernel anwenden. Pruef vor dem Reboot, dass dein Bootloader die neue Version standardmaessig laedt.

Wie merke ich, ob ich schon angegriffen wurde?

Schwierig — der Exploit hinterlaesst kaum Spuren im normalen Audit-Log. Verraeterische Zeichen: neue SUID-Binaries unter /tmp oder /var/tmp, unbekannte Kernel-Module (lsmod), unerklaerte sudoers-Eintraege oder Cron-Jobs. Mit auditd und einer Baseline-Pruefung kommst du am weitesten.

Gibt es einen Public-PoC?

Ja, Sicherheitsforscher haben Anfang der Woche einen Proof-of-Concept auf GitHub veroeffentlicht. Genau deshalb hat CISA die Luecke jetzt in KEV gehoben — die Wahrscheinlichkeit fuer Ausbau-Wellen ist hoch. Wer noch nicht gepatcht hat, hat keine Zeit.

Quellen

LINUX-ALARM! CISA peitscht JETZT eine Kernel-Luecke in die KEV-Liste — DEIN Shell-User wird zum Root, wenn du nicht patcht