Linux内核曝pedit COW漏洞 多家云服务商遭root提权攻击

安全研究人员Massimiliano Oldani于6月17日公开了一个Linux内核本地提权漏洞的PoC,编号CVE-2026-46331,绰号"pedit COW"。该漏洞存在于内核流量控制(tc)子系统的act_pedit数据包编辑模块中,因写时复制(COW)边界校验时机错误,攻击者可篡改内存页缓存中的setuid二进制文件(如/bin/su)副本,在不改动磁盘文件的情况下直接获得root权限。Red Hat将其评为"重要"级别,受影响内核版本为v5.18至v7.1-rc6,已在v7.1-rc7中修复。

据The Hacker News报道,该漏洞利用需满足两个条件:act_pedit模块可加载、系统开启非特权用户命名空间,二者在RHEL、Debian等默认安装中均常见。由于攻击只篡改内存缓存而非磁盘文件,Tripwire、AIDE等传统文件完整性监控工具难以察觉入侵痕迹。国内部分IDC从业者在社群中反映,6月下旬起有香港、海外多台服务器疑似遭利用,但具体攻击手法与该CVE的关联尚未经官方信源证实。安全机构建议尽快升级内核,或临时禁用act_pedit模块、关闭非特权用户命名空间作为缓解措施。

The Hacker News