已存在9年的 Linux Kernel 漏洞可导致执行 root 命令

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Qualys公司披露了位于 Linux 内核中已存在9年的权限管理不当漏洞CVE-2026-46333，可导致低权限本地用户以多个主流发行版本如 Debian、Fedora、Ubuntu 等默认配置的 root 身份，泄露敏感文件并执行任意命令。

研究人员提到，该漏洞的根因在于在2016年11月引入的内核 _ptrace_may_access() 函数，“该原语是可靠的，会将任何本地 shell 转变为到达root 或敏感凭据材料的路径。”成功利用该漏洞可导致本地攻击者披露 /etc/shadow 和在 /etc/ssh/* _key 下托管密钥，并通过针对chage、ssh-keysign、pkexec和accounts-daemon 的四个不同exp 以root 执行任意命令。

继公开的内核提交出现后，该漏洞的 PoC 利用代码已在上周披露。该漏洞是继 Copy Fail、Dirty Frag 和 Fragnesia 之后的Linux 内核最新漏洞。

建议应用 Linux 发行版本发布的最新内核更新，如无法立即更新，则可采取应变措施，如将 “kernel.yama.ptrace_scope”提升为2。研究人员表示：“在受影响期间允许不可信本地用户访问的主机上，应将 SSH 主机密钥和本地缓存的凭据视为可能已泄露。请轮换主机密钥，并审查曾存在于 set-uid 进程内存中的所有管理材料。”

此前，Linux 本地提权漏洞PinTheft 的概念验证（PoC）代码发布，可导致本地攻击者在 Arch Linux 系统上获得 root 权限。利用该漏洞需要目标系统加载可靠数据报套接字（RDS）模块、启用 io_ring、存在一个可读的 SUID-root 二进制文件，并且包含的负载需要 x86_64 架构的支持。该漏洞“利用了 RDS 零拷贝中的 double-free 漏洞，可通过 io_uring 固定缓冲区转化为页缓存覆盖。该漏洞存在于 RDS 零拷贝发送路径中。函数 rds_message_zcopy_from_user() 会逐次锁定用户页面。如果后续某个页面发生缺页错误，错误路径会释放已经锁定的页面，而随后 RDS 消息清理时又会再次释放这些页面，因为在零拷贝通知器被清除后，scatterlist 条目及条目计数仍然保持有效。每次失败的零拷贝发送都可以从第一个页面中窃取一个引用计数。”

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Dirty Frag 可被用于获得Linux所有主流发行版本的 root 权限

Copy Fail: 仅732字节，通杀所有主流 Linux 发行版，隐藏9年的 root 提权漏洞

已存在12年之久的Pack2TheRoot 漏洞可导致攻击者获得 Linux root 访问权限

原文链接

https://thehackernews.com/2026/05/9-year-old-linux-kernel-flaw-enables.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~