PinTheft: Erinnerung an Dirty COW – mit glücklichem Ausgang
Am 19. Mai 2026 wurde mit „PinTheft" eine neue Sicherheitslücke im Linux-Kernel öffentlich diskutiert, die unangenehme Erinnerungen an weitaus gravierendere Vorfälle weckt. Es handelt sich um einen Local Privilege Escalation (LPE)-Bug, der es unprivilegierten lokalen Nutzern ermöglichen kann, Root-Rechte zu erlangen. Die Mechanik dahinter ist ein Reference Count Bug, der es Angreifern erlaubt, den Page Cache mit bösartigen Inhalten zu vergiften – eine Methode, die starke Parallelen zu bekannten Schwachstellen wie Copy Fail (CVE-2026-31431) oder dem berüchtigten Dirty COW (CVE-2016-5195) aufweist.
Ein veröffentlichtes Proof of Concept (PoC) zeigt, wie ein Angreifer eine setuid-ausführbare Datei durch ein kurzes Programm ersetzt, das zuverlässig Root-Rechte gewährt. Canonical bewertet die Schwachstelle mit einem CVSS 3.1 Score von 7.8 („High"). Doch es gibt einen entscheidenden Haken, der die Praxisrelevanz für viele Nutzer stark relativiert.
Die RDS-Abhängigkeit als Retter in der Not
Die PinTheft-Lücke ist keine universelle Waffe gegen jeden Linux-Server. Sie greift nur, wenn das System das Kernel-Modul für RDS (Reliable Datagram Sockets) lädt. RDS ist ein Protokoll, das primär im High-Performance Computing (HPC) eingesetzt wird, um zuverlässige Datagramm-Kommunikation zwischen Cluster-Knoten zu ermöglichen. Für den Durchschnitts-Server oder Desktop ist es völlig irrelevant.
Genau hier setzt die Verteidigungsstrategie von Ubuntu an. In der Standardkonfiguration aller aktuellen Ubuntu-Versionen wird das RDS-Modul gar nicht erst automatisch geladen. Vielmehr setzt Ubuntu seit Langem auf die Datei /etc/modprobe.d/blacklist-rare-network.conf, die genau solche seltenen und potenziell gefährlichen Module blockiert.
Dies ist ein Paradebeispiel dafür, wie „Secure by Default"-Konfigurationen in der Praxis Leben retten – oder in diesem Fall Systeme vor einer Kernel-Lücke bewahren. Die Ubuntu-Priority für die Schwachstelle wurde daher auch nur auf „Medium" gesetzt, da das Risiko einer Ausnutzung im Standard-Setup bei nahezu null liegt.
Die Container-Falle: Unklare Lage bei Shared Storage
Während klassische Ubuntu-Installationen durch den deaktivierten RDS-Treiber weitgehend immun sind, bleibt die Lage in containerisierten Umgebungen diffus. Der Blog-Post von Canonical weist darauf hin, dass der Impact auf Container unklar ist. Zwar könnte ein Angreifer innerhalb eines Containers die Schwachstelle nutzen, um aus diesem auszubrechen, aber das ist nicht der einzige denkbare Pfad.
Weil PinTheft den Arbeitsspeicher (Page Cache) manipuliert, könnte ein kompromittierter Container die Daten anderer Container oder des Host-Systems korruptieren – insbesondere dann, wenn der zugrundeliegende Storage (Raw Storage) geteilt wird. Ein solches Szenario, in dem ein Angreifer seine Ziele im Shared Storage gezielt auswählt, stellt eine massive Bedrohung für Multi-Tenant-Cloud-Umgebungen dar. Hier reicht es nicht, sich auf den Default-Schutz des Hosts zu verlassen, wenn das RDS-Modul im Host-Kernel aus irgendwelchen Gründen doch aktiviert wurde.
Betroffene Versionen und manuelle Checks
Obwohl die Standardkonfiguration schützt, sind die Kernel-Images von Ubuntu Focal Fossa (20.04 LTS) und neuer prinzipiell verwundbar. Bei Ubuntu Bionic Beaver (18.04 LTS) betrifft es nur die HWE-Kernel-Version 5.4. Ältere Versionen wie 16.04 LTS haben den fehlerhaften Code gar nicht erst implementiert.
Bis ein offizieller Kernel-Patch über die Paketquellen ausgerollt wird, sollten Administratoren, insbesondere im HPC-Umfeld, ihre Systeme überprüfen. Mit folgenden Befehlen lässt sich der Status schnell prüfen:
Ist das Modul geladen?
lsmod | grep -qE '^rds ' && echo "Module is loaded (vulnerable)" || echo "Module is NOT loaded"Ist das automatische Laden deaktiviert?
grep -rqE '^alias net-pf-21 off' /etc/modprobe.d/ && echo "Automatic loading disabled (NOT vulnerable)" || echo "Automatic loading possible (vulnerable)"
Falls RDS aus historischen Gründen aktiviert wurde, sollte es umgehend entladen und blockiert werden: rmmod rds. Nach dem anstehenden Kernel-Update kann diese manuelle Sperre wieder aufgehoben werden, falls RDS tatsächlich benötigt wird.
Fazit: Alte Schwachstellen in neuer Verpackung
PinTheft zeigt einmal mehr, dass das Memory-Management im Linux-Kernel nach wie vor eine komplexe und fehleranfällige Baustelle ist. Reference Count Bugs und Page Cache Manipulationen sind keine neuen Konzepte, sondern geisternde Probleme, die seit Jahrzehnten immer wieder in neuen Varianten auftauchen.
Die wahre Geschichte hinter PinTheft ist jedoch ein Erfolg für pragmatische Sicherheit. Durch das konsequente Deaktivieren von selten genutzter Kernel-Funktionalität hat Canonical eine potenziell katastrophale Lücke (CVSS 7.8) im Keim erstickt. Es ist eine wertvolle Erinnerung an Administratoren und Entwickler: Jedes unnötig geladene Kernel-Modul ist eine potenzielle Angriffsfläche. Wer seine Systeme schlank hält, reduziert nicht nur den Ressourcenverbrauch, sondern auch das Sicherheitsrisiko.
Quelle: Ubuntu Blog
