2026-05-30 03:58:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该漏洞通告披露LinuxKernelCIFS组件存在权限提升漏洞（CIFSwitch），攻击者可在本地低权限条件下通过伪造cifs.spnego密钥请求触发request-key机制，使cifs.upcall程序以root权限加载恶意NSS库实现提权。影响commit早于3da1fdf4efbc的内核版本，涉及多个主流Linux发行版。官方已发布补丁修复，临时缓解措施包括卸载cifs-utils、禁用非特权用户命名空间或加载CIFS模块。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,Linux安全,应急响应

cover_image

【漏洞通告】Linux Kernel CIFSwitch 权限提升漏洞

深瞳漏洞实验室深瞳漏洞实验室

深信服千里目安全技术中心

2026年5月29日 18:07 北京

在小说阅读器读本章

去阅读

漏洞名称：

Linux Kernel CIFSwitch 权限提升漏洞

组件名称：

Linux Kernel

影响范围：

Linux Kernel commit < 3da1fdf4efbc490041eb4f836bf596201203f8f2

已知受影响的发行版：

Linux Mint 21.3 / 22.3（Cinnamon）

CentOS Stream 9（GNOME）

Rocky Linux 9（Workstation）

Kali Linux 2021.4 / 2022.4 / 2023.4 / 2024.4 / 2025.4 / 2026.1（headless）

AlmaLinux 9.7（Workstation / Azure cloud image）

SUSE Linux Enterprise Server 15 SP7、SLES SAP 15 SP7、SLES SAP 16

漏洞类型：

权限提升

利用条件：

1、用户认证：需要用户认证

2、前置条件：

① 系统安装 cifs-utils 并保留默认 cifs.spnego request-key 规则

② Linux 内核 CIFS 模块可加载或内置

③ 启用非特权用户命名空间与挂载命名空间

④ 未被 AppArmor/SELinux 默认策略阻断 (部分发行版默认阻断)

3、触发方式：本地

综合评价：

<综合评定利用难度>：中等，需要本地低权限执行条件。

<综合评定威胁等级>：高危，可提升至root权限。

官方解决方案：

已发布

漏洞分析

组件介绍

Linux内核（Linux Kernel）是一个开源的操作系统内核，它是Linux操作系统的核心组件，负责管理计算机的硬件资源，并提供了许多系统服务，如进程管理、内存管理、文件系统管理和设备驱动程序等。

漏洞描述

2026年5月29日，深瞳漏洞实验室监测到一则Linux Kernel组件存在权限提升漏洞的信息，漏洞威胁等级：高危。

该漏洞的核心问题出在 Linux Kernel CIFS 组件的 cifs.spnego 密钥处理流程中。由于相关密钥类型未对密钥描述内容进行来源校验，内核无法有效判断该描述是否由合法的 CIFS 认证流程生成，导致本地低权限用户有机会向后续 upcall 流程传入伪造参数。攻击者在本地低权限条件下，可构造异常的 cifs.spnego 密钥请求，使系统通过 request-key 机制以高权限拉起 cifs.upcall 辅助程序。随后，cifs.upcall 在处理攻击者可控参数时，可能进入攻击者指定的命名空间，并在执行账户信息解析等操作过程中触发 NSS 动态库加载。若攻击者已在相应命名空间中准备恶意 NSS 共享库，即可使代码在 root 上下文中运行，从而实现本地权限提升。

排查方案

检查 SELinux / AppArmor 防护状态

| | | — | | # RHEL/CentOS/Fedora/Rocky/Alma 系（SELinux） getenforce # 输出 Enforcing → 默认阻断；Permissive 或 Disabled → 可能受影响 # Ubuntu/Debian/SUSE 系（AppArmor） sudo aa-status # 或检查未授权用户命名空间限制 sysctl kernel.apparmor_restrict_unprivileged_userns # 返回 1 → 默认阻断；返回 0 → 可能受影响 |

检查 cifs-utils 是否安装及版本

判断标准：

cifs-utils 版本 < 6.14 — 不受影响（版本过旧，无命名空间切换功能）。

cifs-utils 版本 ≥ 6.14 — 可能受影响（需结合 SELinux/AppArmor 状态综合判断）。

cifs-utils 未安装 — 不受影响。

深瞳漏洞实验室已成功复现Linux Kernel CIFSwitch 权限提升漏洞(SF_2026_16467)

影响范围

目前受影响的Linux Kernel版本：

Linux Kernel commit < 3da1fdf4efbc490041eb4f836bf596201203f8f2

已知受影响的发行版：

Linux Mint 21.3 / 22.3（Cinnamon）

CentOS Stream 9（GNOME）

Rocky Linux 9（Workstation）

Kali Linux 2021.4 / 2022.4 / 2023.4 / 2024.4 / 2025.4 / 2026.1（headless）

AlmaLinux 9.7（Workstation / Azure cloud image）

SUSE Linux Enterprise Server 15 SP7、SLES SAP 15 SP7、SLES SAP 16

解决方案

官方修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本：上游 commit：https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2 各发行版的内核更新可关注其安全公告频道，按官方节奏跟进发布的修复内核包。

临时修复建议

（1）卸载 cifs-utils 软件包（业务不需要时优先选择）

| | | — | | sudo apt remove cifs-utils # Debian/Ubuntu sudo yum remove cifs-utils # RHEL/CentOS |

（2）覆盖默认的 cifs.spnego request-key 规则（不需要 Kerberos 认证的 CIFS 挂载场景）

（3）禁止非特权用户创建用户命名空间

| | | — | | sudo sysctl -w kernel.unprivileged_userns_clone=0 # 部分发行版 # 或 sudo sysctl -w user.max_user_namespaces=0 |

（4）禁止加载 CIFS 内核模块（业务不需要 CIFS 功能时）

（5）应用上游内核补丁，并更新至包含修复的发行版内核版本

本质是引入 vet_description 验证，从根本上消除内核 CIFS 与不可信用户态密钥描述的混淆。

深信服解决方案

漏洞主动检测

支持对Linux Kernel CIFSwitch 权限提升漏洞的主动检测，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服云镜YJ】预计2026年06月05日发布检测方案，规则ID:SF-2026-00932。

【深信服可拓展检测响应平台XDR】预计2026年06月05日发布检测方案（需要具备云镜组件能力），规则ID:SF-2026-00932。

参考链接

https://heyitsas.im/posts/cifswitch/

时间轴

2026/05/29

深瞳漏洞实验室监测到Linux Kernel CIFSwitch 权限提升漏洞信息。

2026/05/29

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深信服千里目安全技术中心深瞳漏洞实验室深瞳漏洞实验室《【漏洞通告】Linux Kernel CIFSwitch 权限提升漏洞》