Six Eight Consulting
Navigation öffnen
Kontakt
CVE-2026-46333 ssh-keysign-pwn Demo: Linux-Kernel-Schwachstelle mit Risiko für SSH-Schlüssel und /etc/shadow
Blog

CVE-2026-46333 ssh-keysign-pwn: Linux-Kernel-Lücke bedroht SSH-Keys

CVE-2026-46333 ssh-keysign-pwn kurz erklärt: Die Linux-Kernel-Schwachstelle kann lokale Angreifer an SSH-Hostkeys und /etc/shadow bringen.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 2 Min. Lesezeit

CVE-2026-46333 ssh-keysign-pwn ist eine neu beschriebene Linux-Kernel-Schwachstelle mit hohem Risiko für SSH-Server, Jump-Hosts und gemeinsam genutzte Linux-Systeme. Laut Cyber Security News können lokale Angreifer unter bestimmten Bedingungen auf sensible Daten wie SSH-Private-Keys und /etc/shadow zugreifen.

CVE-2026-46333 ssh-keysign-pwn kurz erklärt

Die Linux-Kernel-Lücke CVE-2026-46333 sitzt in der ptrace-Zugriffslogik. Während privilegierte Prozesse wie ssh-keysign oder chage beendet werden, kann ein Race-Condition-Fenster entstehen: Der Speicher-Kontext ist bereits weg, offene File Descriptors existieren aber noch. Genau diese Lücke kann über pidfd_getfd() ausgenutzt werden.

CVE-2026-46333 ssh-keysign-pwn Demo-GIF auf Linux
Beispiel-Demo zu CVE-2026-46333 ssh-keysign-pwn.Cyber Security News

Warum CVE-2026-46333 für SSH-Sicherheit wichtig ist

Bei ssh-keysign-pwn geht es nicht nur um eine lokale Kernel-Schwachstelle: Gestohlene SSH-Hostkeys können Identitätsmissbrauch, Man-in-the-Middle-Szenarien und laterale Bewegung erleichtern. Zugriff auf /etc/shadow bedeutet zusätzlich: Passwort-Hashes können offline angegriffen werden.

Besonders kritisch sind Systeme, auf denen untrusted lokale Nutzer, CI-Jobs, Container-Workloads oder kompromittierte Accounts Code ausführen können. In solchen Umgebungen ist „lokal“ kein beruhigender Begriff, sondern häufig nur der zweite Schritt nach einem initialen Zugriff.

Maßnahmen: Patchen, SSH-Keys prüfen, Zugriff begrenzen

Sofortmaßnahmen

  1. 1

    Kernel-Patches einspielen

    Fixes rund um den Patch-Stand vom 14. Mai 2026 prüfen und betroffene Linux-Systeme priorisiert aktualisieren.

  2. 2

    SSH-Keys rotieren

    SSH-Hostkeys und relevante Zugangsschlüssel rotieren, wenn Systeme vor dem Fix exponiert oder verdächtig waren.

  3. 3

    Lokalen Zugriff begrenzen

    Shell-Zugänge, CI-Runner, Shared Hosts und Systeme mit untrusted Nutzern priorisieren und Zugriffspfade reduzieren.

  4. 4

    Monitoring schärfen

    Auf auffällige ptrace-, pidfd- oder Zugriffsmuster rund um privilegierte Prozesse achten.

Für die Priorisierung zählt nicht nur, ob ein System öffentlich erreichbar ist. Relevant ist vor allem, ob Angreifer bereits lokalen Code ausführen können oder realistisch an einen lokalen Kontext gelangen: etwa über CI-Jobs, Container, kompromittierte Nutzerkonten oder gemeinsam genutzte Linux-Plattformen.

Themen

CVE-2026-46333ssh-keysign-pwnLinux KernelSSH SecurityPatch ManagementLocal Privilege Escalation

Quelle

  1. Cyber Security News: Critical Linux Kernel Flaw 'ssh-keysign-pwn' Exposes SSH Keys and Shadow PasswordsCyber Security News, Dhivya, 16. Mai 2026; abgerufen am 17. Mai 2026