Linux 核心驚現「Bad Epoll」高危漏洞,本地用戶可提權至 root



近日揭露的 Linux 核心漏洞 CVE-2026-46242(俗稱 Bad Epoll),被評為嚴重安全風險。這是一個位於 epoll 子系統的 Use-After-Free(UAF)競態條件 漏洞,允許本地未授權使用者在受影響系統上取得 root 權限。漏洞影響範圍極廣,涵蓋 Linux 桌面、伺服器與 Android 裝置,已被成功用於 Google kernelCTF 提權示範。

漏洞技術細節

  • 觸發機制:epoll_remove() 函式在處理 struct eventpoll 與 struct file 時,存在記憶體釋放後使用的競態條件。
  • ep_remove() 清除 file->f_ep 後,仍繼續在臨界區內使用 @file。
  • 並行 __fput() 可能在窗口期觀察到暫態 NULL,跳過 eventpoll_release_file(),導致後續 hlist_del_rcu() 操作在已釋放記憶體上執行。
  • 攻擊條件:攻擊者只需本地普通使用者權限,透過精心設計的程式碼即可觸發。
  • 影響版本:Linux 核心 6.4 及以上版本(包含多個長期支援分支)。Android 裝置因使用 Linux 核心,也同樣受影響。
  • 發現過程:由安全研究員 Jaeyoung Chung 在 Google kernelCTF 中發現並提交 0-day 攻擊,已被用於實際提權示範。

epoll 是 Linux 中廣泛使用的 I/O 多工機制,幾乎所有網路伺服器、瀏覽器與高併發應用都依賴它,因此漏洞影響面極大。


修補與緩解措施

  • 官方修補:Linux 核心團隊已快速發布修補程式,主要透過在 ep_remove() 頂端使用 epi_fget() 固定 @file,並確保臨界區安全。
  • 更新建議:
  • 立即升級 Linux 核心至最新修補版本。
  • Android 用戶等待 Google 安全更新推送。
  • 企業環境可考慮暫時限制非必要 epoll 使用或加強權限控管。
  • 臨時緩解:雖然無法完全停用 epoll,但可透過 SELinux/AppArmor 等強化存取控制。

產業與社群反應

  • 安全社群:漏洞揭露後迅速成為熱門討論話題,研究員強調這是「被 Mythos AI 錯過的 bug」。
  • 企業影響:雲端服務商與 Android 裝置製造商需盡快部署修補,以避免被用於大規模攻擊。
  • X 平台討論:多位安全專家分享 PoC 分析與修補心得,網友普遍讚揚核心團隊的快速反應。

Bad Epoll 的揭露再次提醒,即使是高度優化且廣泛使用的核心子系統,仍可能隱藏高危險競態條件漏洞。建議所有 Linux 使用者盡快檢查並更新系統。