News Büro & Karriere Recht & Sicherheit

Liest der Kernel Ihre SSH-Keys mit? Leider ja.

Markus Seyfferth
Markus Seyfferth
Autor Dr. Web
3 Min. Lesezeit
Liest der Kernel Ihre SSH-Keys mit? Leider ja.

Eine neue Linux-Kernel-Lücke erlaubt Angreifern den Zugriff auf SSH-Private-Keys und gespeicherte Passwort-Hashes. Die Schwachstelle wurde am 16. Mai 2026 öffentlich, ein Proof-of-Concept zirkuliert bereits. Für deutsche Server-Administratoren beginnt damit eine neue Patch-Welle, die ungewöhnlich tief in die Systemarchitektur greift.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die Linux-Kernel-Lücke betrifft die Verwaltung des Kernel-Heap-Speichers, in dem sensible Daten zwischengelagert werden. Angreifer mit lokalem Konto können über einen präparierten Systemaufruf Speicherbereiche auslesen, die SSH-Schlüssel, Passwort-Hashes aus /etc/shadow und temporäre Authentifizierungs-Tokens enthalten.

Der Angriff funktioniert auf ungepatchten Systemen ab Kernel-Version 5.10.

Das Wichtigste in Kürze

  • Linux-Kernel-Lücke ermöglicht Lesezugriff auf SSH-Private-Keys und Passwort-Hashes
  • Betroffen sind Kernel-Versionen ab 5.10, auch viele LTS-Distributionen
  • Proof-of-Concept-Code ist öffentlich verfügbar, automatisierte Angriffe sind zu erwarten
  • Sofortmaßnahme: Kernel-Update einspielen und SSH-Keys rotieren

Wie funktioniert der Angriff?

Ein zerbrochener orangefarbener Schlüssel mit einem „SSH leak“-Anhänger und einem Linux-Tux-Logo
Speicherleck im Linux-Kernel ermöglicht Diebstahl von SSH-Keys durch fehlerhafte Heap-Bereinigung und wiederholte Systemaufrufe

Der technische Kern liegt in einer fehlerhaften Speicherbereinigung. Wenn der Kernel bestimmte Datenstrukturen freigibt, bleiben Inhalte im Heap zurück, statt überschrieben zu werden. Ein lokaler Nutzer kann durch wiederholte Systemaufrufe gezielt neue Strukturen anlegen und die alten Daten herausfischen. SSH-Private-Keys, die der Agent zwischenspeichert, landen so im Zugriffsbereich des Angreifers.

Die Voraussetzung ist ein lokales Konto auf dem System. Reine Netzwerk-Angriffe bleiben außen vor. Allerdings reicht ein unprivilegierter Account auf einem Server, der etwa über eine andere Webanwendung kompromittiert wurde. In Multi-Tenant-Umgebungen wie Hosting-Plattformen oder Shared-Servern ist das ein erhebliches Risiko.

Eine Lücke, die SSH-Keys aus dem Kernel-Speicher pflückt, ist kein gewöhnlicher Bug. Wer Server in einer Multi-Tenant-Umgebung betreibt, sollte heute patchen und morgen die Keys rotieren.

— Michael Dobler, Herausgeber Dr. Web

Welche Distributionen sind betroffen?

Alter Schlüssel mit Schlüsselloch-Auge und Antenne auf weiß, Text 'Verdeckter Mitleser'
Ubuntu 22.04 LTS, Debian 12, RHEL 9 und SUSE 15 nutzen anfällige Kernel-Versionen. Patches sind verfügbar, erfordern aber manuelle oder automatische Updates

Die Hauptlast trifft Long-Term-Support-Distributionen. Ubuntu 22.04 LTS, Debian 12, RHEL 9 und SUSE 15 nutzen Kernel-Versionen, die im Verwundbaren-Bereich liegen. Die Patches sind bei allen großen Distributionen verfügbar, müssen aber manuell oder über automatische Updates eingespielt werden. Wer Auto-Updates deaktiviert hat, läuft offen.

Container-Umgebungen verdienen besondere Aufmerksamkeit. Docker und LXC nutzen den Host-Kernel, das heißt eine Lücke im Kernel betrifft alle Container gleichzeitig. Kubernetes-Cluster mit unprivilegierten Pods können prinzipiell ebenfalls betroffen sein, wenn der unterliegende Knoten ungepatcht bleibt.

Was bedeutet das für deutsche Administratoren?

Tresor mit Aufschrift „SSH-Schlüssel“ und einem Wurm mit Hut, der dahinter hervorschaut
Kernel-Patch via apt/dnf und SSH-Key-Rotation auf betroffenen Systemen durchführen, dann System neu starten

Drei Handlungsschritte sind jetzt akut. Zunächst der Kernel-Patch: `apt update` und `apt upgrade` auf Debian-basierten Systemen, `dnf upgrade –refresh` auf RHEL-Derivaten. Nach dem Reboot ist das System geschützt. Parallel die SSH-Key-Rotation: Auch wenn kein Angriff sichtbar war, sollten alle SSH-Schlüssel auf betroffenen Systemen ausgetauscht werden, weil ein erfolgreicher Auslese-Versuch nicht zwingend in Logs landet.

Schließlich der Audit der Zugänge. Wer hatte zuletzt lokalen Zugriff? Welche Webanwendungen erlauben Code-Execution? Genau dort steigen Angreifer ein, um die Kernel-Lücke nutzen zu können. KI-gestützte Sicherheitswerkzeuge können bei der Log-Auswertung helfen, ersetzen aber nicht den menschlichen Blick auf die Architektur.

Wie hat sich die Lage entwickelt?

Ein Vorhängeschloss mit einem integrierten Ohr und einem Zettel im Schlüsselloch
Mehrere Kernel-Bugs gefährden SSH-Keys in Linux-Systemen. CrackArmor im März 2026 zeigte ähnliche Schwachstellen. Wachsende Codebasis und KI-gestützte Angreifer verschärfen die Kernel-Sicherheitslage

Die Lücke ist nicht der erste Kernel-Bug dieses Jahres, der SSH-Keys gefährdet. Im März 2026 wurde bereits eine ähnliche Schwachstelle namens „CrackArmor“ mit neun Einzelbugs in Millionen Linux-Systemen gemeldet. Das Muster verdichtet sich: Kernel-Sicherheit gerät unter Druck, weil die Codebasis wächst und Angreifer KI-Tools für die Suche nutzen.

Die strategische Konsequenz für DACH-Mittelständler liegt in einem disziplinierten Patch-Management. Wer Linux-Server betreibt, sollte einen wöchentlichen Patch-Zyklus etablieren, automatische Sicherheitsupdates aktivieren und SSH-Keys regelmäßig rotieren. Mehr Hintergrund zur aktuellen Lücke dokumentiert das CVEFeed-Newsroom.

Mehr Newshunger?

Ein Messingschlüssel mit der Gravur „SSH-KEY“ und eine Lupe davor, die ein Augensymbol zeigt
WordPress Hosting Vergleich nach Sicherheit und Performance, KI-Cybersecurity mit Claude, LLM-Ratgeber für Unternehmensanforderungen
4,5 12 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail
Empfohlene Artikel
News
Bose SoundTouch streamt wieder. Wie? Mit dieser App.
4 Min.  ·  21. Mai. 2026
News
Schaeffler holt hunderte Humanoide in die Werke. Bis 2030.
3 Min.  ·  12. Mai. 2026
News
Bose dreht das Streaming bei Soundtouch ab. Lautsprecher für 800 Euro: tot.
3 Min.  ·  12. Mai. 2026
News
Bose Soundtouch: Was Kunden rechtlich wirklich noch durchsetzen können
5 Min.  ·  16. Mai. 2026
News
Akku-Degradation beim E-Auto: Wie schnell altert die Batterie?
8 Min.  ·  17. Jan.. 2026
Markus Seyfferth
Autor
Markus Seyfferth
ist seit 2019 geschäftsführender Gesellschafter von Dr. Web. Er verantwortet die redaktionelle Ausrichtung des Dr. Web Magazins und bringt seine Expertise in den Bereichen Webdesign, Webentwicklung, WordPress, SEO sowie Online Marketing ein. Zudem verfasst er regelmäßig Fachartikel, um sein Wissen und seine Erfahrungen zu teilen und anderen im Online Marketing weiterzuhelfen.
727 Artikel veröffentlicht
www.drweb.de
Alle Artikel

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bolzen im falschen Loch: Der Fehler steckt im Design

Bolzen im falschen Loch: Der Fehler steckt im Design

Markus Seyfferth

Ein Lufthansa-Dreamliner kippt am Frankfurter Gate auf die Nase, das Bild macht im Netz die Runde. Dahinter steckt aber kein dummer Zufall, sondern ein...

Mehr erfahren
Newsletter

Mehr solcher Artikel?
Jetzt kostenlos abonnieren.

Jeden Dienstag die besten Artikel aus dem Dr. Web-Magazin direkt in Ihr Postfach – kein Spam, jederzeit abmeldbar.

Einmal pro Woche, kein täglicher Spam
Jederzeit mit einem Klick abmeldbar
DSGVO-konform via Brevo