Sicherheitshinweis: CVE-2026-31431 ("Copy Fail") – Calenso nicht angreifbar

Zusammenfassung

Am 29. April 2026 wurde die Linux-Kernel-Schwachstelle CVE-2026-31431 (auch bekannt als "Copy Fail") öffentlich gemacht. Es handelt sich um eine Local Privilege Escalation im Kernel-Modul algif_aead, die seit 2017 in praktisch allen gängigen Linux-Distributionen enthalten ist (CVSS 7.8, hoch).

Wir haben unmittelbar nach Bekanntwerden geprüft, ob Calenso betroffen ist. Da für die von uns aktuell eingesetzte Linux-Version noch kein gepatchter Kernel zur Verfügung steht, haben wir gemeinsam mit unseren Hosting-Partnern unverzüglich Schutzmassnahmen umgesetzt. Calenso ist Stand heute nicht mehr für diese Schwachstelle anfällig.

Getroffene Massnahmen

• Auf den von nine.ch gemanagten Calenso-Servern wurde das verwundbare Kernel-Modul (algif_aead) deaktiviert.
• Auf unserem Webseiten-Hosting wurde dasselbe Modul ebenfalls deaktiviert.

Diese Mitigation entfernt den Angriffsvektor vollständig, ohne Auswirkungen auf den Betrieb von Calenso.

Nächste Schritte

Sobald ein offizieller Kernel-Patch für unsere Linux-Version verfügbar ist, werden wir diesen zeitnah einspielen. Wir werden diesen Status-Eintrag entsprechend aktualisieren.

Kundenseitiger Handlungsbedarf

Keiner. Der Service ist während der Massnahmen unterbruchsfrei verfügbar geblieben.