CVE-2026-46333: Linux-Kernel-Lücke öffnet Root-Zugriff

Wenn auf deinem Linux-Server mehr als eine Person eine Shell hat, solltest du jetzt aufwachen. Am 15. Mai 2026 wurde CVE-2026-46333 öffentlich — eine Schwachstelle im Linux-Kernel, die unter den Spitznamen „ssh-keysign-pwn“ und „ptrace exit-race“ läuft. Das Bittere: Der Fehler steckt seit November 2016 im Mainline-Kernel. Neun Jahre lang.

GEFAHR: Aus jeder Shell wird Root

Der Kern des Problems ist eine Logik-Lücke in der Kernel-Funktion __ptrace_may_access(). Vereinfacht gesagt: Sie entscheidet, wer welchen Prozess belauschen oder steuern darf — und genau diese Entscheidung lässt sich austricksen. Das Ergebnis ist heftig. Eine einzige unprivilegierte Shell auf einem verwundbaren System reicht aus, um:

– die /etc/shadow mit allen Passwort-Hashes auszulesen,
– private SSH-Host-Schlüssel zu exfiltrieren,
– über gekaperte D-Bus-Verbindungen zu systemd beliebige Befehle als Root auszuführen.

Mit anderen Worten: Wer auch nur einen normalen Benutzer-Account auf der Maschine hat, kann zum Vollzugriff aufsteigen.

SCHOCK: Es trifft die Standard-Installationen

Das ist keine exotische Konfigurations-Lücke. Die Schwachstelle greift bei den Standard-Einstellungen großer Distributionen — ausdrücklich genannt sind Debian, Fedora und Ubuntu. Besonders brenzlig wird es überall dort, wo sich mehrere Leute einen Server teilen: Hosting mit Shell-Zugang, Uni-Cluster, Entwickler-Maschinen, gemeinsam genutzte Build-Server.

WICHTIG: Exploits sind schon im Umlauf

Es bleibt nicht bei der grauen Theorie. Laut den Sicherheitsforschern kursieren bereits funktionierende Exploits öffentlich. Die gute Nachricht: Upstream-Patches und Distributions-Updates sind verfügbar. Die Distributoren haben reagiert, du musst sie nur einspielen.

So rettest du deinen Server in 5 MINUTEN

1. Paketquellen aktualisieren und das Kernel-Update einspielen — bei Debian/Ubuntu mit apt update && apt upgrade, bei Fedora mit dnf upgrade.
2. Neu starten, damit der gepatchte Kernel auch wirklich läuft (uname -r zur Kontrolle).
3. SSH-Host-Schlüssel im Zweifel neu erzeugen, falls die Maschine längere Zeit Mehrbenutzer-Zugang hatte und du einen Diebstahl nicht ausschließen kannst.
4. Prüfen, ob unnötige Shell-Accounts auf dem System existieren — und sie entfernen.

Fazit: Eine klassische Privilege-Escalation, aber mit ungewöhnlich fieser Wirkung — der SSH-Schlüssel-Klau hebt sie über das übliche Maß hinaus. Wer Server mit mehreren Nutzern betreibt, sollte das Update nicht auf morgen verschieben.

Häufige Fragen

Bin ich überhaupt betroffen?

Betroffen sind Standard-Installationen großer Distributionen wie Debian, Fedora und Ubuntu. Das Risiko ist am höchsten auf Systemen, auf die mehrere Personen lokalen Shell-Zugriff haben. Ein reiner Einzelplatz-Desktop ohne fremde Accounts ist deutlich weniger exponiert — patchen solltest du trotzdem.

Wie merke ich, ob mein System verwundbar ist?

Prüfe deine Kernel-Version mit uname -r und gleiche sie mit dem Sicherheits-Advisory deiner Distribution für CVE-2026-46333 ab. Liegt deine Version unter dem dort genannten gepatchten Stand, ist das System angreifbar. Distributoren wie Canonical und Red Hat haben passende Hinweise veröffentlicht.

Wie behebe ich das Problem konkret?

Spiele das bereitgestellte Kernel-Update deiner Distribution ein (apt upgrade bzw. dnf upgrade) und starte den Server neu, damit der gepatchte Kernel aktiv wird. Hatte die Maschine längere Zeit Mehrbenutzer-Zugang, solltest du zusätzlich die SSH-Host-Schlüssel neu generieren.

Gab es schon aktive Angriffe?

Sicherheitsforscher berichten, dass funktionierende Exploits bereits öffentlich kursieren. Konkrete, breit gemeldete Angriffswellen sind bisher nicht das zentrale Thema — aber die öffentliche Verfügbarkeit von Exploit-Code erhöht das Risiko deutlich, weshalb schnelles Patchen wichtig ist.

Quellen

ROOT-ALARM! Eine 9 Jahre alte Linux-Lücke verschenkt JETZT Root und deine SSH-Schlüssel — sofort patchen