CVE-2022-0492: Container-Escape-Lücke jetzt in CISA KEV

Totgesagte leben länger: Eine Linux-Lücke aus dem Jahr 2022 taucht plötzlich im KEV-Katalog der US-Cybersicherheitsbehörde CISA auf — dem Verzeichnis der Schwachstellen, die nachweislich aktiv ausgenutzt werden. CVE-2022-0492 ist zurück. Und sie kann Angreifern den Ausbruch aus deinen Containern ermöglichen.

SO funktioniert der Container-Ausbruch

Die Lücke steckt in cgroups v1, genauer im Mechanismus release_agent. Der erlaubt es, beim Beenden einer Control Group ein Programm auf dem Host auszuführen. Der Fehler: Der Kernel prüfte nicht sauber, wer diesen release_agent setzen darf. Ein Prozess in einem unzureichend isolierten Container konnte so Befehle mit Root-Rechten auf dem Host ausführen — der Worst Case für jede Container-Umgebung.

WARUM eine Uralt-Lücke jetzt brandgefährlich ist

Dass die CISA eine vier Jahre alte Schwachstelle am 2. Juni 2026 neu listet, ist ein Alarmsignal: Es bedeutet, dass ungepatchte Kernel in Produktion stehen — und aktiv angegriffen werden. Verdächtige Kandidaten: Legacy-Server, die seit Jahren niemand anfasst, Embedded-Geräte mit eingefrorenen Kerneln und Container-Hosts, die nach dem Motto „läuft doch“ betrieben werden. US-Bundesbehörden müssen bis zum 5. Juni handeln — diesen Freitag.

So prüfst du dein Homelab in 5 MINUTEN

Schritt 1: Kernel-Version checken (uname -r) — die Lücke wurde Anfang 2022 gepatcht; jeder halbwegs aktuelle Distributions-Kernel ist sicher.
Schritt 2: Prüfe, ob deine Container-Hosts noch cgroups v1 nutzen — moderne Distributionen und Tools (etwa Podman 6, das v1 komplett entfernt hat) setzen längst auf v2.
Schritt 3: Härtung aktiv lassen: AppArmor oder SELinux plus Seccomp blockieren den Angriff selbst auf verwundbaren Kerneln. Gefährlich sind vor allem privilegierte Container ohne Sicherheitsprofile.

FAZIT: Patchen ist ein Marathon, kein Sprint

CVE-2022-0492 zeigt, dass Sicherheitslücken nicht altern wie Milch, sondern wie Landminen: Sie bleiben scharf, bis jemand sie entschärft. Wenn du irgendwo noch einen vergessenen Server mit Uralt-Kernel hast — heute ist der Tag, ihn zu aktualisieren.

Häufige Fragen

Welche Systeme sind betroffen?

Verwundbar sind Linux-Kernel ohne die Anfang 2022 verteilten Patches. In der Praxis betrifft das vor allem Legacy-Server, Embedded-Systeme mit eingefrorenen Kernel-Ständen und ältere Container-Hosts. Aktuelle Distributions-Kernel sind seit über vier Jahren abgesichert — das Problem sind die vergessenen Maschinen.

Wie merke ich, ob mein System verwundbar ist?

Prüfe mit uname -r deine Kernel-Version und gleiche sie mit den Security-Advisories deiner Distribution ab. Zusätzlich kannst du kontrollieren, ob cgroups v1 aktiv ist (Mount-Punkte unter /sys/fs/cgroup). Systeme mit cgroups v2, aktuellen Kerneln und aktiven AppArmor-/SELinux-Profilen sind nicht angreifbar.

Wie behebe ich das Problem konkret?

Spiele die Kernel-Updates deiner Distribution ein und starte das System neu. Stelle Container-Hosts auf cgroups v2 um, vermeide privilegierte Container und lasse Sicherheitsprofile wie AppArmor, SELinux und Seccomp aktiviert — sie blockieren den Exploit-Pfad selbst auf ungepatchten Kerneln.

Warum landet eine Lücke von 2022 erst jetzt im KEV-Katalog?

Die CISA nimmt Schwachstellen erst auf, wenn aktive Ausnutzung nachgewiesen ist. Angreifer greifen gern auf alte, gut dokumentierte Lücken zurück, weil draußen erstaunlich viele ungepatchte Systeme laufen. Die Aufnahme am 2. Juni 2026 mit Frist 5. Juni zeigt, dass genau das gerade passiert.

Quellen: CISA KEV-Katalog · Threat-Modeling.com · NVD: CVE-2022-0492

ZOMBIE-LÜCKE! Vier Jahre alter Linux-Bug bricht JETZT aus Containern aus — CISA setzt Frist bis Freitag