
Linux内核中发现一个高危本地权限提升漏洞,编号为CVE-2026-46331(2026年6月16日分配编号,6月26日公开披露)。该漏洞被称为“pedit COW”,影响多个Linux发行版,包括自Ubuntu Bionic Beaver 18.04 LTS起的所有版本。值得注意的是,Ubuntu Resolute Raccoon 26.04 LTS已通过AppArmor机制提供了缓解措施,可阻断漏洞的执行路径。
漏洞的CVSS 3.1评分为7.8(高风险等级),于2026年6月28日确认。受影响的内核模块是支持tc-pedit操作的组件——该操作属于Linux流量控制子系统,用于任意修改数据包。
本文提供了禁用受影响模块的缓解方案(对于不需要该模块的主机)。在官方内核补丁发布并安装之前,用户可以临时应用这些措施。
对于未运行容器的主机,攻击者可利用该漏洞将普通用户权限提升至root。已有针对此类部署环境的公开利用代码。
在运行任意第三方工作负载的容器部署中,该漏洞不仅可能导致主机上的本地提权,还可能引发容器逃逸。目前尚未出现针对容器逃逸的概念验证(PoC)代码。
缓解方案会禁用用于tc中pedit操作的内核模块。如果主机上存在依赖该模块的本地流量控制规则,启用缓解措施将影响相关功能。
漏洞修复将通过Linux内核镜像包分发。在补丁可用之前,可按照以下说明应用临时缓解措施。一旦内核更新完成,便无需再保留缓解配置。
| 发行版 | 包名 | 修复状态 |
|---|---|---|
| Trusty Tahr (14.04 LTS) | linux | 不受影响 |
| Xenial Xerus (16.04 LTS) | linux | 不受影响 |
| Bionic Beaver (18.04 LTS) | linux | 受影响 |
| Focal Fossa (20.04 LTS) | linux | 受影响 |
| Jammy Jellyfish (22.04 LTS) | linux | 受影响 |
| Noble Numbat (24.04 LTS) | linux | 受影响 |
| Questing Quokka (25.10) | linux | 受影响 |
| Resolute Raccoon (26.04 LTS) | linux | AppArmor缓解措施 |
在终端中执行以下命令查看当前Ubuntu版本,并与上表对比:
lsb_release -a
缓解方案的核心是阻止受影响的内核模块加载,分为三个步骤:
创建配置文件阻止模块加载:
echo "install act_pedit /bin/false" | sudo tee /etc/modprobe.d/pedit-cow.conf
重新生成initramfs镜像,确保早期启动阶段也不会加载该模块:
sudo update-initramfs -u -k all
如果模块已加载,执行以下命令卸载:
sudo rmmod act_pedit 2>/dev/null
检查模块是否仍在内存中:
grep -qE '^act_pedit ' /proc/modules && echo "受影响模块已加载" || echo "受影响模块未加载"
如果显示“未加载”,则无需进一步操作。但如果模块被现有流量控制规则占用,卸载可能失败。此时需重启系统以强制执行模块禁用(但会影响相关流量控制规则):
sudo reboot
当内核更新可用并安装后,可删除缓解配置文件:
sudo rm /etc/modprobe.d/pedit-cow.conf
sudo update-initramfs -u -k all
关注微信号:智享开源 ,及时了解更新信息。
原文链接:https://ubuntu.com//blog/pedit-cow-linux-vulnerability-fixes-available
你必须 登录 才能发表评论.
| 微信捐赠 | 支付宝捐赠 |
|---|---|
![]() |
![]() |
扫码关注公众号:智享开源

还没有任何评论,你来说两句吧!