IT-Forscher haben im Linux-Kernel eine kritische Schwachstelle mit dem Namen „Copy Fail“ entdeckt, die seit 2017 in allen größeren Distributionen vorhanden ist. Dieser Logikfehler ermöglicht lokalen Nutzern einen kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache und kann mithilfe eines 732 Byte großen Python-Skripts zum Erlangen von root-Rechten missbraucht werden (CVE-2026-31431, CVSS 7.8). Die Lücke erlaubt es, das setuid-Flag auf Binärdateien zu manipulieren, ohne dass die ursprüngliche Datei verändert wird, da der Kernel die manipulierten Pages nicht als „Dirty“ markiert. Diese Schwachstelle kann auch Container-Grenzen sprengen, da der Page-Cache auf dem Host geteilt wird. Als temporäre Gegenmaßnahmen werden das Blockieren der AF_ALG-Socket-Erstellung über seccomp oder das Blacklisten des algif_aead-Moduls empfohlen.