Eine seit 2011 bestehende Schwachstelle im Linux-Kernel sorgt gerade für Aufsehen: CVE-2026-43499, von Sicherheitsforschern »GhostLock« getauft, steckt im rtmutex/futex-Subsystem und lässt sich mit hoher Zuverlässigkeit zur Rechteausweitung missbrauchen.
Use-after-Free
Der Fehler steckt tief im Locking-Code des Kernels und führt zu einem Use-after-Free-Fehler. Ausgelöst wird das über ganz normale Threading-Aufrufe, die jedes unprivilegierte lokale Programm absetzen kann. Wie das genau funktioniert, ist hier beschrieben.
Viele Distributionen betroffen
Brisant macht die Sache vor allem drei Dinge: Der Bug betrifft praktisch jede Linux-Distribution der letzten 15 Jahre, ein funktionierender Root-Exploit mit rund 97 % Erfolgsquote kursiert bereits, und ein Proof-of-Concept ist öffentlich auf GitHub einsehbar. Zusätzlich lässt sich damit auch aus Containern ausbrechen – für Docker- und Kubernetes-Hosts also doppelt relevant.
Doppelter Fix
Der Fix ist in den Kernel-Versionen 6.1.175, 6.6.140, 6.12.86, 6.18.27 sowie 7.0.4 enthalten. Ubuntu hat bereits reagiert (USN-8488-1, -2 sowie USN-8489-1, Einstufung “High”), SUSE zieht mit SUSE-SU-2026:2591-1 nach. Neben dem Haupt-Fix gibt es einen zweiten, separat notwendigen Patch für eine Edge-Case-Variante des Bugs, geführt unter CVE-2026-53166. Wer sein System absichern will, sollte auf beide CVE-Nummern achten; einige Anbieter liefern die Fixes inzwischen gebündelt aus. Wer Multi-Tenant-Server, Container-Hosts oder Systeme mit Shell-Zugriff für Dritte betreibt, sollte zeitnah patchen. In Container-Umgebungen helfen zusätzlich Seccomp-Profile, die die betroffenen Futex-Aufrufe einschränken.
