Bad Epoll: Linux-Kernel-Lücke verschafft jedem Nutzer Root-Rechte

07.07.2026 1
Bad Epoll: Linux-Kernel-Lücke verschafft jedem Nutzer Root-Rechte

Ein Sicherheitsforscher hat einen äußerst zuverlässigen, funktionierenden Exploit für eine Linux-Kernel-Schwachstelle veröffentlicht, mit dem ein gewöhnlicher, unprivilegierter Nutzer die volle Kontrolle über ein System als Root erlangen kann - ohne Passwort, ohne Social Engineering, nur durch lokale Codeausführung. Die als Local Privilege Escalation (LPE) eingestufte Lücke, bekannt als CVE-2026-46242 und "Bad Epoll" genannt, betrifft Linux-Server, Desktops und Android-Smartphones mit Kernel 6.4 oder neuer. Ein Patch existiert bereits im Upstream, ist aber noch nicht flächendeckend verteilt.

Wie die Use-after-free-Lücke in Bad Epoll funktioniert

Der Fehler steckt in epoll, dem Mechanismus, mit dem der Linux-Kernel einem einzelnen Programm erlaubt, gleichzeitig Tausende offene Dateien oder Netzwerkverbindungen zu überwachen - etwas, worauf praktisch jeder Webserver, jede Datenbank und jeder VPN-Dienst angewiesen ist. Der Forscher Jaeyoung Chung vom Computer Security Lab der Seoul National University fand heraus, dass zwei interne Aufräumroutinen von epoll innerhalb der Funktion ep_remove() bei gleichzeitiger Ausführung kollidieren können: Eine gibt einen Speicherbereich des Kernels frei, während die andere noch hineinschreibt. Dieses Use-after-free-Fenster ist nur etwa sechs CPU-Befehle breit, doch Chungs auf GitHub veröffentlichter Proof-of-Concept nutzt den beschädigten Speicher, um eine Return-Oriented-Programming-Kette (ROP) aufzubauen, die den Ausführungsfluss des Kernels kapert und dem Angreifer Root-Rechte verschafft.

Wichtig: Nach Chungs eigenen Tests gelingt der Exploit auf betroffenen Systemen in etwa 99 % der Fälle - eine Zuverlässigkeit, die weit über dem liegt, was die meisten Kernel-Exploits erreichen, und einer der Gründe, warum die Lücke Sicherheitsforscher diese Woche aufgeschreckt hat.

Wer betroffen ist

  • Linux-Server und -Desktops: Jede Distribution mit einem Mainline-Kernel ab Version 6.4 ist verwundbar.
  • Android-Geräte: Funktioniert nachweislich auf einem Google Pixel 10 (Kernel 6.6); ältere Geräte mit dem Long-Term-Support-Zweig 6.1 sind nicht betroffen.
  • Browser als Einfallstor: Da der Exploit lediglich lokale Codeausführung benötigt, weisen Forscher darauf hin, dass er theoretisch auch aus einem isolierten Prozess wie einem Chrome-Renderer heraus gestartet werden könnte - ein einfacher Browser-Bug würde damit zur vollständigen Geräteübernahme.

Der erste Fixversuch der Kernel-Maintainer, veröffentlicht nach der Behebung einer früheren, verwandten Lücke (CVE-2026-43074), schloss das Loch nicht vollständig - es dauerte noch etwa zwei weitere Monate, bis eine korrekte Lösung in den Mainline-Kernel gelangte. Genau dieser langsame, zweistufige Patch-Prozess erklärt, warum so viele Systeme weiterhin verwundbar sind: Distributionen und Android-Hersteller hinken dem Mainline oft um mehrere Patch-Zyklen hinterher, und selbstverwaltete Server noch mehr.

So prüfen Sie, ob Sie betroffen sind

Führen Sie im Terminal den Befehl uname -r aus, um Ihre laufende Kernel-Version zu sehen. Zeigt sie 6.4 oder höher an und hat Ihre Distribution oder Ihr Gerät seit Anfang Juli 2026 kein Sicherheitsupdate erhalten, sollten Sie das System als verwundbar betrachten und so schnell wie möglich den aktuellen Kernel- oder Hersteller-Patch einspielen.

Warum das mehr als nur private Rechner betrifft

Bad Epoll benötigt keine Netzwerkverbindung, um zu funktionieren - nur lokale Codeausführung, was zunächst beruhigend klingt. Doch "lokal" umfasst heute sehr viel: Shared-Hosting-Server, CI/CD-Build-Runner, Cloud-VPS-Instanzen, selbst betriebene Netzwerkgeräte und jede Linux-Maschine, die jemals nicht vertrauenswürdigen Code ausführt - sei es ein heruntergeladenes Skript, ein Container-Escape oder ein kompromittierter Browser-Tab. Sobald ein Angreifer auch nur den kleinsten Fuß in der Tür hat, macht Bad Epoll daraus vollständige administrative Kontrolle.

Das größere Muster

Bad Epoll erinnert auch daran, wie stark moderne Netzwerkinfrastruktur - einschließlich der Linux-Rechner, auf denen VPN-Gateways, selbst betriebene Proxys und Heimrouter laufen - von einer Kernel-Komponente abhängt, von der die meisten Nutzer noch nie gehört haben. Ein einziges ungepatchtes System in einem gemeinsam genutzten Netzwerk oder ein VPN-Anbieter, der Kernel-Updates auf seiner Serverflotte nur langsam ausrollt, kann aus einem "rein lokalen" Fehler ein erhebliches Risiko für alle machen, deren Datenverkehr darüber läuft. Diese Geschichte reiht sich in ein Muster ein, das sich dieses Jahr wiederholt: von gestohlenen FortiGate-Zugangsdaten bis zu Citrix Bleed erweist sich immer wieder ungepatchter, unscheinbarer Kernel- und Firmware-Code als das schwächste Glied der Privatsphäre-Infrastruktur - nicht die Verschlüsselung selbst.

Fazit: Bad Epoll zeigt, dass selbst ein ausgereifter, intensiv geprüfter Teil des Linux-Kernels jahrelang einen nahezu zuverlässigen Weg zu Root-Rechten verbergen kann. Der Patch existiert bereits - das eigentliche Risiko besteht nun darin, wie viele Server, Router und Smartphones noch mit dem verwundbaren Code laufen werden, wenn Angreifer beginnen, ihn in freier Wildbahn einzusetzen.
Tags: cybersecurity security internet security vpn privacy linux

Auch lesenswert