Linux内核高危漏洞安全预警:CVE-2026-43503、CVE-2026-46242、CVE-2026-43456

Linux内核高危漏洞安全预警(2026年7月6日)

涉及漏洞数: 3个
整体风险等级: 高危


一、CVE-2026-43503 DirtyClone(CVSS 8.8)

漏洞类型: 本地权限提升 / 页缓存污染(DirtyFrag家族)

漏洞原理: 内核 __pskb_copy_fclone() 等函数在克隆网络数据包分片时,未能正确传播 SKBFL_SHARED_FRAG 标志位。该标志用于标记数据包是否引用共享的文件页缓存内存。标志丢失后,IPsec ESP 解密流程误将只读文件页当作可写网络缓冲区,执行原地解密写入,从而篡改 /usr/bin/su 等特权二进制的内存镜像,实现静默 root 提权。攻击不修改磁盘文件,绕过完整性校验。

利用条件:

  • 非特权用户命名空间(默认开启,获取 CAP_NET_ADMIN)
  • 加载 esp4/esp6/rxrpc 内核模块(默认内置)
  • PoC / EXP 已公开,利用成功率高

上游修复情况及缓解方案参考:

https://mp.weixin.qq.com/s/0GEooIwnalbuKWgpv9eIqw


二、CVE-2026-46242 Bad Epoll(CVSS 7.8)

漏洞类型: 本地权限提升 / 释放后重用(UAF)

漏洞原理: epoll 子系统中,当一个 epoll fd 监视另一个 epoll fd 时,同时关闭两者会触发 __ep_remove()eventpoll_release() 快速路径的竞态,导致对 struct filestruct eventpoll 的双重释放后重用。竞争窗口仅约 6 条指令,但通过扩大窗口 + 重试循环,成功率可达 99%。

特殊风险:

  • 可在 Chrome 渲染器沙箱内触发
  • 安卓 Pixel 10(6.6 内核)已验证可获取 root
  • 无需用户命名空间,epoll 不可禁用

上游修复情况及缓解方案参考:

https://mp.weixin.qq.com/s/BKRQpnoqawuARl0Mhj4ScQ


三、CVE-2026-43456 bonding驱动类型混淆(CVSS 7.8)

漏洞类型: 本地权限提升 / 类型混淆(Type Confusion)

漏洞原理: bonding 驱动的 bond_setup_by_slave() 函数直接将 slave 设备的 header_ops 赋值给 bond 设备(bond_dev->header_ops = slave_dev->header_ops)。当 slave 为 GRE 隧道时,bond 设备私有区域(struct bonding)与 GRE 设备私有区域(struct ip_tunnel)类型不同,导致类型混淆。攻击者构造 329 个 GRE 设备链式排列,精确调整 LL_RESERVED_SPACE 触发越界写入,篡改 skb 标志位后劫持 callback 函数指针实现任意代码执行。

关键特征:

  • 2007 年引入(commit 1284cd3a2b74),潜伏 19 年
  • 利用稳定率超 99%,耗时不足 1 秒
  • Google kernelCTF 漏洞赏金超 8 万美元
  • 利用条件:需 CAP_NET_ADMIN(可通过用户命名空间获取)

上游修复情况及缓解方案参考:

https://mp.weixin.qq.com/s/VxpRPcDfofcy-ITXap5-vg


四、openKylin 影响评估

目前openKylin社区安全治理SIG及内核SIG组正在加紧评估中,具体受影响版本及修复进展请及时关注openKylin 官方公告:https://www.openkylin.top/support/patch-cn.html


声明: 本预警基于公开 CVE 信息、上游 kernel.org 补丁及安全社区公开资料撰写,具体受影响版本及修复进展以 openKylin 官方公告为准。

1 个赞