Een nieuw ontdekte kwetsbaarheid in de Linux-kernel heet ‘Copy Fail’. Deze fout stelt een gewone gebruiker in staat om volledige roottoegang te krijgen. Het beveiligingslek treft vrijwel alle grote Linux-distributies en bestaat al sinds 2017.
De aanval werkt via een klein script van slechts 732 bytes. Een aanvaller misbruikt de AF_ALG-sockets en splice-functie in het crypto-subsysteem van de kernel. Hiermee overschrijft hij een paar bytes in het geheugen van een doelbestand, zoals /usr/bin/su. De kernel voert code uit vanuit het geheugen, niet rechtstreeks van de schijf. Daardoor kan een aanvaller kwaadaardige code injecteren zonder dat dit zichtbaar is op de schijf.
Dat maakt Copy Fail extra gevaarlijk. Standaard beveiligingscontroles controleren bestanden op de schijf. Die bestanden blijven ongewijzigd. Toch draait er al een aangetaste versie in het geheugen. Bovendien kan de aanval containergrenzen oversteken, zoals bij Docker of Kubernetes. De gedeelde paginacache maakt dit mogelijk. Dit verhoogt het risico voor omgevingen met meerdere gebruikers of klanten.
De oorzaak van het lek ligt in een optimalisatie die jaren geleden aan de kernel werd toegevoegd. Die optimalisatie wordt nu teruggedraaid als onderdeel van de fix. Tot beveiligingsupdates breed beschikbaar zijn, vormt dit lek een serieuze en betrouwbare dreiging voor Linux-systemen wereldwijd.
