// HEISE ONLINE — HARDWARE & GADGET
heise+ | Vom Umgang mit Sicherheitslücken im Linux-Kernel
Sicherheitslücke im Kernel gefixt, von den Distributionen aber nicht bemerkt: Der Fall „Copy Fail“ zeigt, was in der Kommunikation der Entwickler schiefläuft.
Anfang des Jahres entdeckte das Security-Unternehmen Theori eine Sicherheitslücke im Linux-Kernel, die später als „Copy Fail“ bekannt werden sollte. Die Lücke erlaubte unprivilegierten Nutzern, Root-Rechte zu erlangen. Theori meldete sie am 23. März an die Kernel-Entwickler, woraufhin sie am 1. April im aktuellen Entwicklungszweig des Kernels behoben wurde; einige Tage später portierten die Kernel-Entwickler die Fixes auch auf die Versionszweige 6.18 und 6.19. Das dafür zuständige Linux-Team vergab eine eindeutige Nummer für die Schwachstelle (CVE-2026-31431) und veröffentlichte am 22. April eine Mitteilung dazu, die unter anderem auf die Fixes verwies.
Eine optimal abgelaufene koordinierte Offenlegung (coordinated disclosure), könnte man meinen, doch als Theori am 29. April sehr öffentlichkeitswirksam Copy Fail samt einem Beispielexploit publizierte, erwischte es viele Linux-Distributionen und deren Nutzer kalt: Die von den Distributionen verteilten Kernel enthielten die Fixes genauso wenig wie einige der vom Kernel-Team angebotenen „longterm“-Versionen. Für letztere wurden am 30. April Fixes nachgereicht; einige Distributionen benötigten deutlich länger, um aktualisierte Kernel auszuliefern und strickten mit heißer Nadel Workarounds, um betroffene Systeme notdürftig zu kitten.
In der Folge wurde Theori viel kritisiert. Nicht zu Unrecht (dazu später mehr), aber Copy Fail war kein außergewöhnliches Versagen, dessen Ursache man allein Theori anlasten kann. Dass es im Disclosure-Prozess rund um Kernel-Lücken allgemein knirscht, zeigte sich schon wenige Tage nach Copy Fail, als die Lücken „Dirty Frag“ und „Copy Fail 2“ publiziert wurden. An beiden war Theori nicht beteiligt und auch in diesen beiden Fällen lief die öffentliche Bekanntgabe alles andere als rund.
Mehr als Kilozählen: Fünf smarte Waagen zeigen im Test, was ihre Körperanalyse wirklich leistet – vom Spargerät bis zur Luxuswaage mit Handsensoren.
Batteriespeicher ist günstig wie nie und auch manche PV-Bestandsanlage könnte ein wenig mehr davon gebrauchen. Anker verspricht ein Update in fünf Minuten.
Dell packt in sein Topmodell die stärkste GeForce-Karte und die Gaming-CPU Ryzen 7 9850X3D. Wir haben den Luxus-PC in Spielen und auf Lautstärke geprüft.
Testautomatisierung scheitert in der Praxis oft an starren Modellen. Ein Blick auf Projekte zeigt, wie man die Testpyramide als Kompass statt als Dogma nutzt.
Eine teure Cine-Optik allein reicht nicht. Erst Codec, Dynamikumfang, Kühlung und Sensor machen den Unterschied im Workflow aus.
Schutz und Stromerzeugung in einem System: Indach-PV ist charmant, aber planerisch anspruchsvoll. Was Bauherren zu Technik, Kosten und Markt wissen müssen.