Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Linux 03.06.2026 · 3 min Lesezeit

CVE‑2026‑46333: Neun Jahre alte Linux-Kernel-Lücke ermöglicht Root-Zugriff - Patches verfügbar

Eine seit November 2016 im Linux-Kernel schlummernde Race-Condition in der ptrace-Zugriffskontrolle erlaubt unprivilegierten lokalen Nutzern, SSH-Schlüssel und /etc/shadow auszulesen oder Root-Befehle auszuführen. Patches und Mitigationen stehen bereit.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warn-Infografik zu CVE-2026-46333, einer seit 2016 bestehenden Linux-Kernel-Lücke, die einem lokalen unprivilegierten Nutzer Root-Zugriff ermöglichen kann, mit betroffenem Server, Rechteausweitung und Hinweis auf verfügbare Kernel-Patches.

Sicherheitsforscher von Qualys haben mit CVE-2026-46333 eine kritische Schwachstelle im Linux-Kernel offengelegt, die unprivilegierten lokalen Benutzern den Weg zu Root-Rechten öffnet. Der zugrunde liegende Programmierfehler steckt bereits seit November 2016 (Kernel v4.10-rc1) im Code und betrifft damit nahezu alle gängigen Distributionen. Über die Lücke lassen sich sensible Dateien wie SSH-Hostschlüssel und Passwort-Hashes aus /etc/shadow auslesen oder beliebige Befehle als Root ausführen. Die Schwachstelle ist mit einem CVSS-Score von 7.1 (High) bewertet, lässt sich jedoch nur lokal und nicht aus der Ferne ausnutzen. Ein öffentlicher Proof-of-Concept (ssh-keysign-pwn) kursiert seit Mai 2026.

Die Schwachstelle

Im Kern handelt es sich um eine Race-Condition in der Kernel-Funktion __ptrace_may_access(), die für die Zugriffskontrolle beim Debugging-Interface ptrace zuständig ist. Das Zeitfenster für den Angriff entsteht beim Prozessende: zwischen der Abkopplung des Speicherbeschreibers und dem Schließen der Dateideskriptor-Tabelle prüft der Kernel die Berechtigungen nicht mehr konsistent. Ein Angreifer kann diese Lücke über das Interface pidfd_getfd(2) ausnutzen, das seit Linux 5.6 verfügbar ist.

Primäre Angriffsziele sind SUID-Binärdateien, die mit erhöhten Rechten laufen - konkret ssh-keysign und chage. Über sie lassen sich entweder Anmeldedaten abgreifen oder eine vollständige Code-Ausführung als Root erreichen. Qualys meldete die Schwachstelle am 11. Mai 2026 privat; der Patch-Commit 31e62c2ebbfd wurde am 14. Mai 2026 öffentlich.

Bin ich betroffen?

Betroffen sind alle Systeme mit Kernel-Versionen unterhalb der gepatchten Stände: < 5.10.256, < 5.15.207, < 6.1.173 und < 6.6.139. Die installierte Kernel-Version lässt sich wie folgt prüfen:

uname -r

Auf der Liste der betroffenen Distributionen stehen unter anderem:

  1. Debian, Ubuntu, Fedora, RHEL und SUSE
  2. Oracle Linux, Amazon Linux 2 und 2023
  3. Google Container-Optimized OS und Azure Linux 3.0
  4. CloudLinux 7h, 8, 9 und 10

Nicht betroffen ist CloudLinux 7, da dessen Kernel 3.10 älter als die 2016 eingeführte Regression ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab am 31. Mai 2026 eine Sicherheitswarnung heraus, die am 3. Juni 2026 aktualisiert wurde.

Wie behebe ich das?

Die zuverlässigste Lösung ist ein Kernel-Update auf einen der gepatchten Stände (5.10.256+, 5.15.207+, 6.1.173+, 6.6.139+ oder neuer). Distributorspezifische Patches wurden zwischen dem 14. und 21. Mai 2026 ausgeliefert; die jeweiligen Vendor-Advisories sollten konsultiert werden. Für Systeme, die nicht sofort neu gestartet werden können, bietet sich Live-Patching (etwa über KernelCare) als Übergangslösung an.

Bis zum Einspielen des Updates stehen folgende Mitigationen zur Verfügung:

  1. Härtung über kernel.yama.ptrace_scope
  2. Einsatz von CageFS zur Isolierung einzelner Tenants
  3. Entfernen des SUID-Bits auf den anfälligen Binärdateien ssh-keysign und chage

Was bedeutet das für Unternehmen?

Für Produktions- und Multi-Tenant-Infrastrukturen ist die Lücke besonders kritisch. Jeder unprivilegierte Benutzer - etwa ein Anwendungs-, Container- oder Webserver-User - kann SSH-Hostschlüssel kompromittieren, Passwort-Hashes auslesen oder Root-Befehle absetzen. Mögliche Folgen reichen von der vollständigen Systemübernahme über laterale Bewegung im Netzwerk bis hin zu Datenverlust und Compliance-Verstößen gegen PCI-DSS, SOC 2 und die DSGVO.

Besonders gefährdet sind Shared-Hosting-Umgebungen und Container-Plattformen, in denen mehrere Mandanten denselben Kernel teilen. Da ein funktionsfähiger Proof-of-Concept öffentlich verfügbar ist, besteht akuter Handlungsdruck: Betreiber sollten die Patches umgehend einspielen oder zumindest die genannten Mitigationen aktivieren.

Quellen: Qualys Security Research, Red Hat Security Bulletin RHSB-2026-004, Ubuntu Security Advisory, CloudLinux Blog, LWN.net, The Hacker News, Infosecurity Magazine.

Verwandt

Weiter lesen

Alle Artikel →
Infografik zu rsync über SSH für Datensynchronisation und Migration, mit Quell- und Zielserver, sicherem SSH-Transfer, inkrementeller Übertragung, SSH-Schlüssel und synchronisierten Verzeichnissen.
02.06.2026 ·9 min

rsync über SSH: Daten synchronisieren und migrieren

rsync über SSH richtig einsetzen: Grundsyntax, wichtigste Optionen, die Trailing-Slash-Falle, Server-Migration mit --numeric-ids und geplante Syncs per Cron auf Debian 12 und Ubuntu 24.04.
Infografik, die Nginx als Reverse Proxy mit TLS zeigt, mit HTTPS-Zugriff auf Port 443, Zertifikat, privatem Schlüssel, Weiterleitung an Backend-Server und gesetzten Proxy-Headern.
02.06.2026 ·9 min

Nginx als Reverse Proxy mit TLS manuell einrichten

So richtest du <strong>Nginx als Reverse Proxy mit TLS</strong> auf Debian 12 oder Ubuntu 24.04 von Hand ein: proxy_pass auf ein Backend, die Pflicht-Proxy-Header, WebSocket-Upgrade und ein Let’s-Encrypt-Zertifikat per certbot – copy-paste-fertig.
Infografik zu Bash-Skripting für Admins mit Terminal, Shell-Befehlen, Variablen, Bedingungen, Schleifen und der Automatisierung typischer Administrationsaufgaben.
02.06.2026 ·13 min

Bash-Skripting für Admins – die Grundlagen

Bash-Skripting ist das Schweizer Taschenmesser jedes Linux-Admins. Diese Anleitung zeigt die Grundlagen: Shebang, Variablen und Quoting, Positionsparameter, Bedingungen, Schleifen, Funktionen, Exit-Codes und den robusten Strict Mode – plus zwei Mini-Skripte für Backup und Healthcheck.