文章总结： FreeBuf披露潜伏九年的Linux内核漏洞CVE-2026-46333，该本地提权漏洞存在于__ptracemayaccess函数，攻击者可利用竞争条件结合pidfdgetfd系统调用窃取SSH私钥、密码哈希并实现root权限执行。影响Debian、Ubuntu等主流发行版，建议立即应用内核更新、轮换敏感凭证并设置kernel.yama.ptracescope=2临时缓解。 综合评分： 92 文章分类： 漏洞分析,漏洞预警,应急响应,安全运营,Linux安全

潜伏九年的Linux内核漏洞可致攻击者窃取SSH私钥

FreeBuf

2026年5月22日 19:52 上海

在小说阅读器读本章

去阅读

在零窗口期成为常态的今天，”更快打补丁”或”更好打补丁”已不足够。安全团队需要基于**预设失陷模型（assume-breach model）**的新策略：默认入侵必然发生，关键在于实时检测和快速遏制。这些防御动作都需在网络层面即时完成。

Part01

预设失陷模型的三大实施要素

#

新披露的Linux内核漏洞（CVE-2026-46333）暴露了一个存在近九年未被发现的本地提权缺陷。Qualys威胁研究团队(TRU)发现，该漏洞允许攻击者窃取SSH私钥等敏感数据，并在受影响系统上以root权限执行任意命令。

Part02

技术原理

该漏洞位于Linux内核的__ptrace_may_access()函数中，该函数负责控制进程间的相互检查与交互。由于Linux内核4.10-rc1版本(2016年11月)引入的逻辑错误，该函数会在特权进程短暂丢弃凭证的窗口期错误地允许访问。

攻击者通过结合该竞争条件与pidfd_getfd()系统调用，可从特权进程复制文件描述符并在非特权上下文中重用，从而绕过标准权限检查访问敏感资源。

Part03

影响范围

Qualys验证了该漏洞在多个主流Linux发行版中的可靠利用，包括：

• Debian 13
• Ubuntu 24.04/26.04
• Fedora 43/44

确认存在四种实际攻击场景：

• ssh-keysign：窃取/etc/ssh/目录下的SSH主机私钥
• change：泄露/etc/shadow中的密码哈希
• pkexec：以root权限执行任意命令
• accounts-daemon：通过D-Bus交互实现提权

Part04

漏洞根源

漏洞源于__ptrace_may_access()对”dumpable”状态处理不当。当目标进程退出且其内存描述符(mm)变为NULL时，内核会跳过关键安全检查，转而依赖YAMA Linux安全模块进行访问控制。

在默认kernel.yama.ptrace_scope=1配置下，若攻击者是父进程（常见利用场景），YAMA会允许访问。将ptrace_scope设为2可强制要求CAP_SYS_PTRACE权限，有效阻断攻击路径。

Part05

修复建议

上游补丁已于2026年5月14日发布，主要发行版包括Debian、Fedora、Red Hat等均已推出安全更新。建议管理员：

• 立即应用最新内核更新
• 轮换可能暴露系统的SSH主机密钥和敏感凭证
• 审计系统是否存在未授权提权活动

临时缓解措施可设置：

• kernel.yama.ptrace_scope=2

但该设置可能影响gdb、strace等调试工具及部分容器/崩溃报告工作流。鉴于公开利用代码已出现且漏洞影响近十年的Linux系统，（CVE-2026-46333）对企业与云环境构成需立即处置的重大风险。

参考来源：

Nine-year-old Linux Kernel Vulnerability Let Attackers Exfiltrate SSH Private Keys

Nine-year-old Linux Kernel Vulnerability Let Attackers Exfiltrate SSH Private Keys

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《潜伏九年的Linux内核漏洞可致攻击者窃取SSH私钥》