Copy Fail kernel bug

    Quote from michaMEG

    ... länger bis es ein Update gibt?

    Du könntest blacklisten:

    Code
    blacklist algif_aead
install algif_aead /usr/bin/true

    danach:

    Code
    sudo update-initramfs -u

    und rebooten.

    michaMEG Raspberry Pi OS ist betroffen, es dauert einfach nur noch ein bisschen. Es ist bei der experimentellen ”Firmware”, die man mit rpi-update bekommt schon drin, aber damit holt man sich dann vielleicht andere Probleme. Wenn Du was gegen die Lücke machen möchtest, könntest Du das betroffene Kernel-Modul auf die schwarze Liste setzen. Andererseits ist ein Bug mit dem man Rootrechte bekommen kann, auf Systemen wo man bis vor kurzen seit Ewigkeiten sudo ohne Passwort benutzen konnte, vielleicht auch gar nicht sooo spannend.

    Hier ist das Issue von Raspberry Pi OS zu dem CVE:

    CVE-2026-31431 (Copy Fail): algif_aead patch not backported to RPi 6.12.x kernel tree · Issue #7346 · raspberrypi/linux
    Describe the bug Summary The RPi 6.12.x kernel tree does not appear to have backported the fix for CVE-2026-31431 ("Copy Fail"), a local privilege escalation…
    github.com

    On some systems, in particular, Digital's Edusystems 20, 25, and 50, strings are limited to 6 characters. Several strings may, of course, be combined in an array to permit longer than 6-letter words to be used.”
    — David H. Ahl, 101 BASIC Computer Games, DEC, 1975

    Siehe auch: https://www.heise.de/news/Dirty-Fra…e-11286691.html

    Nur so ne Anmerkung am Rande: Ubuntu 26.04 ist "out-of-the-box" gefixt (aber abgesehen von McDotter nutzt das ja keiner - scnr)

    Aber im Ernst: "kein Update - kein Mitleid" bzw bitte haltet eure Systeme immer zeitnah auf dem neusten Stand! Und gerade seit KI wird dieser Druck durch neu entdeckte Sicherheitslücken massiv zunehmen.

    Immerhin ist Linux eine Welt, in der solche Lücken puplic gemacht werden, propieretäre OS tun das nicht in dieser Offenheit

    ---

    Denkmal: ein lebenslanger Imperativ

    Quote from McDotter

    Aber im Ernst: "kein Update - kein Mitleid" bzw bitte haltet eure Systeme immer zeitnah auf dem neusten Stand!

    BTW: Oldstable RasPI-OS (Bookworm; Kernel 6.12.75) ist z. Zt. noch nicht gefixt. Es gibt noch kein Update.

    Falls der neue Raspberry-Pi-Kernel bei dir Netzwerkprobleme verursacht, würde ich nicht blind auf dem kaputten Kernel bleiben, sondern vorerst den funktionierenden Kernel nutzen und zusätzlich die Copy-Fail-Angriffsfläche blockieren.

    Temporäre Mitigation:

    Code
    sudo tee /etc/modprobe.d/disable-algif.conf >/dev/null <<'EOF'
install algif_aead /bin/false
EOF
    Code
    sudo modprobe -r algif_aead 2>/dev/null || true
sudo modprobe -n -v algif_aead

    Wenn dort „install /bin/false“ erscheint, wird algif_aead blockiert.

    Nach einem Reboot nochmal prüfen:

    Code
    sudo modprobe -n -v algif_aead
lsmod | grep algif_aead || echo "algif_aead ist nicht geladen"

    Das ist kein vollständiger Kernel-Fix, aber ein sinnvoller Workaround, solange der gepatchte Kernel auf dem eigenen Pi wegen LAN/WLAN-Problemen nicht stabil läuft.

    Edited once, last by mortiis666: sorry für die Smilies, keine Ahnung ob dies vom System (Forum) Absicht ist. sollen eigentlich doppelt "|“ sein (May 15, 2026 at 5:56 PM).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login