Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Linux 31.05.2026 · 2 min Lesezeit

CIFSwitch: Neue Linux-Kernel-Luecke ermoeglicht Root-Eskalation ueber CIFS

Mit CIFSwitch reiht sich eine weitere lokale Privilege-Escalation-Luecke in die Serie um Copy Fail, Dirty Frag und Fragnesia ein. Sie betrifft Linux-Distributionen, die CIFS-Mounts verwenden, und schenkt Angreifern Root.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Linux-Terminal mit Konsolen-Ausgabe symbolisiert den neuen Kernel 7.0

Sicherheitsforscher haben mit CIFSwitch eine weitere lokale Rechteausweitung im Linux-Kernel offengelegt. Sie reiht sich in die in den vergangenen Wochen vorgestellten Lücken Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt und PinTheft ein. Entdecker ist laut Bericht ein Security-Engineer bei SpaceX. Der Fehler steckt im CIFS-Subsystem: Der Kernel verifiziert nicht, dass Anfragen für sogenannte cifs.spnego-Schluessel tatsächlich aus dem kernelseitigen CIFS-Client stammen. Ein lokal angemeldeter Anwender kann diese Lücke missbrauchen, um eigene Schlüsselbeschreibungen unterzuschieben und damit Root-Rechte zu erlangen.

Betroffen sind viele Distributionen, die eine verwundbare Kombination aus Kernel-CIFS und cifs-utils mitbringen (CIFS in Kernels ab 6.14 und höher, mit Einschränkungen auch ältere Linien). Genannt werden Versionen von Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux und Amazon Linux. Geschuetzt sind dagegen Setups, in denen standardmäßig SELinux- oder AppArmor-Profile den Angriffspfad blockieren – also unter anderem aktuelle Fedora-Releases, CentOS Stream 10 und Ubuntu 26.04 mit aktivem AppArmor.

Was Admins jetzt tun sollten

  1. Distributions-Updates abwarten und sofort einspielen. Die Maintainer arbeiten mit dem Upstream-Kernel-Security-Team an Patches, einzelne Distros liefern bereits Hotfixes.
  2. Auf Servern, die kein CIFS benötigen, das Kernel-Modul aktiv blockieren: echo "install cifs /bin/true" > /etc/modprobe.d/disable-cifs.conf.
  3. User Namespaces härten oder einschränken, denn sie sind eine der typischen Voraussetzungen der aktuellen Eskalations-Serie. sysctl kernel.unprivileged_userns_clone=0 hilft als Sofortmaßnahme.
  4. AppArmor- bzw. SELinux-Status pruefen und sicherstellen, dass die Standard-Profile aktiv sind. Distros wie Ubuntu Server liefern sie zwar mit, sie werden aber in Eigenbau-Bereichen oft deaktiviert.

Für DACH-Admins ist die Häufung der Kernel-Lücken in kurzer Folge ein deutliches Signal, das Patch-Management von „monatlich" auf „werktäglich" umzustellen, mindestens für Linux-Server, die produktiv File- oder Container-Workloads tragen. Wer ohnehin in Richtung minimaler Container-Hosts denkt – etwa Talos, Bottlerocket oder Flatcar – findet hier ein weiteres Argument: Eine kleinere Kernel-Modul-Oberfläche reduziert die Angriffsfläche für solche Bug-Klassen erheblich.

Mehr aus der Kategorie Linux: News aus der Kategorie Linux

Quellen: BleepingComputer – New CIFSwitch Linux flaw gives root on multiple distributions.

Verwandt

Weiter lesen

Alle Artikel →
Linux-Mini-PC mit Netzwerkkabel und Linux-Terminal im Hintergrund – Symbolbild für JDownloader anonym über Tor
30.05.2026 ·6 min

JDownloader anonym über Tor auf Linux: Docker-Compose-Anleitung für Ubuntu, Debian & Co.

Ein Linux-Server mit Docker reicht aus, um JDownloader 2 vollständig durch das Tor-Netzwerk zu tunneln. Diese Anleitung zeigt Schritt für Schritt das Compose-Setup auf Ubuntu, Debian oder einer verwandten Distribution – vom Docker-Install über die Konfiguration mit SOCKS5-Proxy bis zur Tunnel-Verifikation.
Linux-Terminal mit Konsolen-Ausgabe symbolisiert den neuen Kernel 7.0
29.05.2026 ·2 min

Linux 7.0 nach Linux 6.19: Torvalds setzt Versions-Rollover fort

Linus Torvalds hat Linux 7.0 veroeffentlicht und damit die Versions-Marke nach 6.19 erwartungsgemaess weitergedreht. Inhaltlich bringt 7.0 vor allem Konsolidierung, Treiber und gepflegte Subsysteme.
Linux-Terminal mit Shell-Prompt – Symbolbild für Kernel-Sicherheitslücke Fragnesia
28.05.2026 ·3 min

Fragnesia (CVE-2026-46300): Neue Linux-Kernel-Lücke verschafft Root-Rechte