Linux-Kernel: Killswitch soll verwundbare Funktionen stoppen
Ein neuer Kernel-Patch soll Linux-Administratoren mehr Spielraum bei akuten Sicherheitslücken geben. Der Vorschlag setzt auf eine temporäre Sperre einzelner Funktionen.
Der Linux-Kernel könnte künftig eine Art Notbremse für besonders kritische Sicherheitslücken erhalten. Ein entsprechender Patch wurde von Sasha Levin vorgeschlagen, der unter anderem als Co-Maintainer stabiler Linux-Kernel-Zweige auftritt. Der Killswitch soll es Administratoren mit erhöhten Rechten ermöglichen, einzelne Kernel-Funktionen vorübergehend zu deaktivieren, bis ein regulärer Patch verfügbar und installiert ist. Der Vorschlag liegt bislang zur Prüfung vor und ist nicht Bestandteil eines veröffentlichten Mainline-Kernels.
Ein solcher Killswitch würde eine verwundbare Funktion nicht reparieren, sondern ihren eigentlichen Codepfad umgehen. Laut Patchbeschreibung könnte ein Administrator eine konkrete Funktion mit einem Rückgabewert verknüpfen. Wird diese Funktion anschließend aufgerufen, soll sie sofort mit diesem Wert zurückkehren, ohne ihren eigentlichen Funktionskörper auszuführen. Als Beispiel wird in der Patchbeschreibung unter anderem af_alg_sendmsg genannt. Die Steuerung soll über /sys/kernel/security/killswitch/control erfolgen.
Der Hintergrund ist die Zeitspanne zwischen öffentlicher Bekanntmachung einer Schwachstelle und dem praktischen Ausrollen eines korrigierten Kernels. Gerade in größeren Linux-Flotten kann es dauern, bis ein Patch gebaut, verteilt und nach einem Neustart aktiv ist. Levin argumentiert, dass es bei manchen Schwachstellen ausreichen könne, den betroffenen Codepfad vorübergehend nicht mehr aufzurufen. Damit wäre die Angriffsfläche reduziert, während die eigentliche Fehlerkorrektur vorbereitet oder verteilt wird.
Als mögliche Kandidaten nennt der Patch Bereiche wie AF_ALG, ksmbd, nf_tables, vsock und ax25. Gemeint sind damit Funktionen oder Subsysteme, die nicht auf jedem System zwingend benötigt werden, aber im Fehlerfall eine relevante Angriffsfläche bilden können. In solchen Fällen könne der Ausfall einer einzelnen Socket-Familie oder eines Subsystems für viele Installationen weniger problematisch sein als der Weiterbetrieb eines bekannten verwundbaren Kernels. Diese Bewertung ist allerdings stark vom Einsatzzweck abhängig.
Der Vorschlag folgt auf mehrere öffentlich diskutierte Linux-Sicherheitsprobleme. Dazu gehört Copy Fail, eine lokale Rechteausweitung im Linux-Kernel, die als CVE-2026-31431 geführt wird. Parallel dazu wurde mit Dirty Frag eine weitere Linux-Schwachstelle öffentlich diskutiert, bei der laut Berichten ebenfalls lokale Rechteausweitung möglich sein soll.
Bedacht werden sollte allerdings, dass der Killswitch-Ansatz umstritten ist. Die Funktion würde Administratoren bewusst ein Werkzeug geben, mit dem sich Kernel-Funktionalität hart abschalten lässt. Das kann Sicherheitsrisiken mindern, aber auch neue Betriebsrisiken erzeugen. In der Diskussion wird daher darauf verwiesen, dass eine solche Maßnahme nur als temporäre Eindämmung und nicht als Ersatz für ein Kernel-Update verstanden werden dürfte.
Mitmachen und kommentieren
Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich über Ihre fundierte Meinung in den Kommentaren zu dieser Meldung. Sollten Sie noch keinen Extreme-Account haben, laden wir Sie zu einer Registrierung im Forum ein. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln. Folgen Sie gerne PCGH bei 🔈 Youtube oder 💬 Whatsapp und erhalten Sie Neuigkeiten zu Grafikkarten, CPUs und Gaming direkt in Ihrem Feed.


Wenn man wissen will, ob diese Lücke auf seinem System existiert, dann muss nur folgender Befehl eingegeben werden:
>sudo pro fix CVE-2026-31431
Wenn Linux keinen Infekt anzeigt, habt ihr Glück...😉👍🏻