pedit COW漏洞:本地提权风险及缓解方案

pedit COW漏洞:本地提权风险及缓解方案

漏洞概述

Linux内核中发现一个高危本地权限提升漏洞,编号为CVE-2026-46331(2026年6月16日分配编号,6月26日公开披露)。该漏洞被称为“pedit COW”,影响多个Linux发行版,包括自Ubuntu Bionic Beaver 18.04 LTS起的所有版本。值得注意的是,Ubuntu Resolute Raccoon 26.04 LTS已通过AppArmor机制提供了缓解措施,可阻断漏洞的执行路径。

漏洞的CVSS 3.1评分为7.8(高风险等级),于2026年6月28日确认。受影响的内核模块是支持tc-pedit操作的组件——该操作属于Linux流量控制子系统,用于任意修改数据包。

本文提供了禁用受影响模块的缓解方案(对于不需要该模块的主机)。在官方内核补丁发布并安装之前,用户可以临时应用这些措施。

漏洞影响

未运行容器的工作负载

对于未运行容器的主机,攻击者可利用该漏洞将普通用户权限提升至root。已有针对此类部署环境的公开利用代码。

容器部署环境

在运行任意第三方工作负载的容器部署中,该漏洞不仅可能导致主机上的本地提权,还可能引发容器逃逸。目前尚未出现针对容器逃逸的概念验证(PoC)代码。

缓解措施的回退风险

缓解方案会禁用用于tc中pedit操作的内核模块。如果主机上存在依赖该模块的本地流量控制规则,启用缓解措施将影响相关功能。

受影响版本

漏洞修复将通过Linux内核镜像包分发。在补丁可用之前,可按照以下说明应用临时缓解措施。一旦内核更新完成,便无需再保留缓解配置。

发行版 包名 修复状态
Trusty Tahr (14.04 LTS) linux 不受影响
Xenial Xerus (16.04 LTS) linux 不受影响
Bionic Beaver (18.04 LTS) linux 受影响
Focal Fossa (20.04 LTS) linux 受影响
Jammy Jellyfish (22.04 LTS) linux 受影响
Noble Numbat (24.04 LTS) linux 受影响
Questing Quokka (25.10) linux 受影响
Resolute Raccoon (26.04 LTS) linux AppArmor缓解措施

如何判断是否受影响

在终端中执行以下命令查看当前Ubuntu版本,并与上表对比:

lsb_release -a

手动缓解操作

缓解方案的核心是阻止受影响的内核模块加载,分为三个步骤:

  1. 永久阻止该模块在未来加载。
  2. 卸载当前已加载的模块。
  3. 确认卸载成功;若失败,则重启系统。

步骤1 – 阻止模块加载

创建配置文件阻止模块加载:

echo "install act_pedit /bin/false" | sudo tee /etc/modprobe.d/pedit-cow.conf

重新生成initramfs镜像,确保早期启动阶段也不会加载该模块:

sudo update-initramfs -u -k all

步骤2 – 卸载模块

如果模块已加载,执行以下命令卸载:

sudo rmmod act_pedit 2>/dev/null

步骤3 – 确认模块未加载

检查模块是否仍在内存中:

grep -qE '^act_pedit ' /proc/modules && echo "受影响模块已加载" || echo "受影响模块未加载"

如果显示“未加载”,则无需进一步操作。但如果模块被现有流量控制规则占用,卸载可能失败。此时需重启系统以强制执行模块禁用(但会影响相关流量控制规则):

sudo reboot

解除缓解措施

当内核更新可用并安装后,可删除缓解配置文件:

sudo rm /etc/modprobe.d/pedit-cow.conf
sudo update-initramfs -u -k all

关注微信号:智享开源 ,及时了解更新信息。

原文链接:https://ubuntu.com//blog/pedit-cow-linux-vulnerability-fixes-available

评论列表

发表评论

你必须 登录 才能发表评论.

为您推荐


请支持IMCN发展!

谁在捐赠

微信捐赠 支付宝捐赠
微信捐赠 支付宝捐赠
ta的个人站点

发表文章4411篇

关注我的头条 不要放弃,百折不挠,坚强、自信。


扫码关注公众号:智享开源

最新科技信息


归档

近期评论