Egy újonnan nyilvánosságra hozott Linux kernel sérülékenység, a pedit COW (CVE-2026-46331) lehetővé teheti, hogy egy helyi felhasználó teljes root jogosultságot szerezzen anélkül, hogy a rendszerben található bináris fájlokat módosítaná.
A hiba a Linux kernel traffic control (tc) alrendszerében található, és különösen veszélyes, mert a támadó nem a lemezen tárolt végrehajtható fájlokat módosítja, hanem azok memóriában gyorsítótárazott (page cache) példányát. Emiatt a hagyományos fájlintegritás-ellenőrző eszközök sok esetben nem érzékelik a kompromittálást.
A helyzetet súlyosbítja, hogy a sérülékenység nyilvánosságra kerülését követően kevesebb mint 24 órán belül működő proof-of-concept (PoC) exploit is megjelent.
Hol található a sérülékenység?
A CVE-2026-46331 a Linux kernel hálózati alrendszerének traffic control (tc) komponensét érinti, amelyet csomagütemezésre, forgalomszabályozásra, szűrésre és csomagmódosításra használnak.
A probléma a pedit (packet editor) funkcióban található, amely lehetővé teszi a hálózati csomagok fejlécének módosítását.
A hibás működés a tcf_pedit_act() kernel-függvényhez kapcsolódik.
Normál esetben a Linux copy-on-write (COW) mechanizmust alkalmaz, amely biztosítja, hogy az írási műveletek csak egy privát memóriapéldányon történjenek.
A sérülékeny implementáció azonban hibásan számolja ki az írható memória tartományát, ezért bizonyos esetekben az írás már nem a privát másolatra, hanem a közös page cache memóriaterületre történik.
A kernel fejlesztői ezt úgy javították, hogy az írásvédelmi műveletet áthelyezték arra a pontra, ahol az aktuális memóriaoffset már ismert, valamint további határellenőrzéseket vezettek be.
Nem a fájlt módosítja, hanem a memóriában lévő példányát
A kutatók bemutatták, hogy a sérülékenység segítségével például a /bin/su gyorsítótárazott memóriapéldánya módosítható.
Ez azt jelenti, hogy:
- a lemezen található bináris érintetlen marad;
- a kernel memóriájában lévő példány viszont rosszindulatú kóddal egészül ki.
Amikor a rendszer elindítja a programot, már a módosított memóriaképet tölti be, így a támadó root jogosultságot szerezhet.
Ez különösen problémás, mert:
- a hash-ellenőrzések változatlanok maradnak;
- a fájlintegritás-ellenőrző rendszerek nem jeleznek eltérést;
- a kompromittálás nehezebben észlelhető.
A page cache ürítése ugyan eltávolítja a módosított memóriapéldányt, de nem szünteti meg az esetlegesen már telepített perzisztens hozzáférést vagy root folyamatokat.
Rendkívül gyorsan megjelent a működő exploit
A kernel javítását eredetileg egy egyszerű adatkezelési hibaként publikálták a Linux fejlesztői levelezőlistáján.
A javítás később kapta meg a CVE-2026-46331 azonosítót, majd a kernel forráskódjába történő beolvasztás után körülbelül egy nappal már megjelent egy teljesen működő proof-of-concept exploit.
Ez ismét rámutat arra a problémára, hogy a részletes kerneljavítások gyakran elegendő információt szolgáltatnak ahhoz, hogy támadók gyorsan elkészítsék a kihasználó kódot, még mielőtt a rendszergazdák telepítenék a frissítéseket.
Milyen feltételek szükségesek a támadáshoz?
A sérülékenység önmagában nem távolról kihasználható, azonban egy helyi felhasználó számára viszonylag kevés előfeltétel szükséges.
A támadáshoz az alábbi feltételeknek kell teljesülniük:
- elérhető vagy betölthető act_pedit kernelmodul;
- engedélyezett unprivileged user namespaces használata.
Ez utóbbi sok modern Linux-rendszerben alapértelmezett, különösen:
- konténeres környezetekben;
- rootless Docker vagy Podman használata esetén;
- CI/CD rendszerekben;
- fejlesztői környezetekben;
- többfelhasználós Linux-szervereken.
Mely rendszerek érintettek?
A kutatók sikeresen demonstrálták a helyi jogosultság-emelést többek között:
- Red Hat Enterprise Linux 10;
- Debian 13 (Trixie).
Ubuntu esetén eltérő a helyzet.
Bár a kernel sérülékenysége ott is jelen van, az Ubuntu 26.04 alapértelmezett AppArmor-beállításai blokkolják a publikált exploit útvonalát.
Ez azonban nem jelenti azt, hogy a sérülékenység ne lenne jelen – csak a bemutatott támadási módszer nem működik az alapértelmezett konfiguráció mellett.
Már megjelentek a gyártói javítások
A nagyobb Linux-disztribúciók már megkezdték a biztonsági frissítések kiadását.
A jelenlegi információk szerint:
- Red Hat – érintett az RHEL 8, RHEL 9 és RHEL 10;
- Debian – biztonsági frissítések érkeznek a Debian 13-hoz;
- Ubuntu – több támogatott verzió is érintett a kernelfrissítések telepítéséig.
A sérülékenység már szerepel a National Vulnerability Database (NVD) adatbázisában is.
A Dirty COW és Dirty Pipe örököse
A kutatók szerint a pedit COW ugyanabba a sérülékenység-családba tartozik, mint korábbi ismert Linux kernelhibák:
- Dirty COW (CVE-2016-5195);
- Dirty Pipe;
- egyéb page cache korrupciós sérülékenységek.
Közös jellemzőjük, hogy a kernel bizonyos körülmények között tévesen közös memóriaterületre ír, ami jogosultság-emelést tesz lehetővé.
Mit tegyenek a rendszergazdák?
A szakértők elsődleges ajánlása:
- a gyártó által kiadott kernelfrissítések mielőbbi telepítése;
- teljes rendszer-újraindítás.
Amennyiben ez átmenetileg nem lehetséges:
- tiltsák le az act_pedit modult, ha nincs rá szükség;
- fontolják meg az unprivileged user namespaces letiltását.
Utóbbi ugyan csökkenti a támadási felületet, de problémát okozhat:
- rootless konténerek;
- CI/CD rendszerek;
- böngészők sandbox mechanizmusai;
- egyes fejlesztői környezetek esetében.
Összegzés
A CVE-2026-46331 (pedit COW) a 2026-os év egyik legfontosabb Linux jogosultság-emelési sérülékenységévé vált.
A hiba különlegessége, hogy nem módosítja a lemezen tárolt binárisokat, hanem azok memóriában tárolt példányát manipulálja, így a hagyományos integritás-ellenőrzési megoldások könnyen megtéveszthetők.
Mivel a működő exploit rendkívül gyorsan megjelent, a többfelhasználós Linux-rendszereket, Kubernetes-klasztereket, konténeres környezeteket és vállalati szervereket üzemeltető szervezeteknek célszerű kiemelten kezelniük a kernelfrissítések telepítését és a rendszer újraindítását.
