文章总结: Linux核心epoll子系统被发现高危本地权限提升漏洞BadEpoll(CVE-2026-46242,CVSS7.8),根因为UAF竞态条件,影响Linux6.4+内核及Android。漏洞于2023年4月引入,2026年4月底补丁已合并至主线。AnthropicAI模型Mythos在发现过程中立功。唯一缓解措施是尽快套用修补程式,建议立即核查内核版本并关注发行版安全更新。 综合评分: 89 文章分类: 漏洞分析,威胁情报,应急响应,安全运营,漏洞预警
【安全圈】Linux本地权限提升漏洞「Bad Epoll」曝光:CVSS 7.8
安全圈
2026年7月5日 19:00 江苏
在小说阅读器读本章
去阅读
关键词
漏洞
一、60秒看完全部要点
- 🎯 Linux核心 epoll子系统 被发现本地权限提升漏洞 Bad Epoll(CVE-2026-46242),CVSS评分7.8分(高危)
- 🐛 根因:UAF(释放后重用)竞态条件,攻击者可将普通进程提升为root权限
- 💻 影响范围:Linux桌面系统、服务器以及Android(Linux核心6.4+版本)均受影响
- 📅 漏洞2023年4月引入,2026年5月正式披露CVE编号,4月底已合并修补程式至Linux核心主线
- 🤖 Anthropic AI模型Mythos立功:率先发现CVE-2026-43074(另一epoll竞态漏洞),之后Jaeyoung Chung团队补报了Bad Epoll
- ✅ 唯一缓解措施:套用修补程式(epoll无法禁用,无简单缓解方法)
二、技术详解:Bad Epoll漏洞是什么?
2.1 什么是 epoll?
epoll是Linux核心提供的高效I/O事件通知机制(I/O Multiplexing),广泛应用于Nginx、Redis、HAProxy等需要同时处理大量连接的网络服务器。它能让一个线程同时监控大量文件描述符(FD),包括网络socket、pipe、eventfd等,而无需为每个连接单独建立线程。
关键问题:因为epoll是内核级基础组件,无法禁用,所以Bad Epoll没有简单的缓解手段,唯一有效的补救措施就是套用官方补丁。
2.2 漏洞根因:竞态条件 + UAF
Bad Epoll漏洞的根源在于epoll实现中的竞态条件(Race Condition)引发的UAF(Use-After-Free,释放后重用)问题:
- 攻击者精心构造的时序,使内核在释放某块内存后、重新分配给其他用途前,插入一个操作窗口
- 攻击者的代码趁机访问这块已被释放但未被重新分配的内存,实现特权提升
- 最终将无特权的用户进程提升为具有root权限的状态
值得特别注意的是,Bad Epoll与另一CVE-2026-43074均源自2023年4月引入的同一段epoll代码——两个漏洞同时潜伏了约3年才被发现。
2.3 漏洞发现过程:AI也立功了
2026年2月,韩国首尔大学电脑安全实验室将Bad Epoll问题通报Linux核心安全团队,但维护者提出的补丁原型并非正确解决方案,讨论随后陷入停滞。
转折点:2026年4月初,Anthropic的顶尖AI模型Mythos在代码审计中独立发现了其中一个epoll竞态条件漏洞(CVE-2026-43074),补丁随后合并至Linux核心主线。
2026年4月底,首尔大学Jaeyoung Chung团队进一步通报Mythos漏掉的另一个epoll竞态条件漏洞(即Bad Epoll,CVE-2026-46242),补丁也于此时合并至Linux核心主线。
AI辅助漏洞挖掘再下一城:继Anthropic Mythos在2026年4月创下批量挖掘高危漏洞的记录后,Bad Epoll案例再次证明AI在代码安全审计领域的实用价值。
三、影响范围:谁在受影响名单里?
3.1 Linux 发行版
使用Linux核心6.4版或更新版本,且未将修补机制回溯移植(backport)的发行版均受影响。Linux核心6.1版不受影响(问题在6.4版才引入)。
已公告存在CVE-2026-46242的发行版:
- Red Hat
- SUSE
- Debian
- Ubuntu
- Amazon Linux
3.2 Android 平台
Pixel 10(Linux核心版本6.6及以上):Bad Epoll的PoC程序会触发UAF,存在被利用风险。
Pixel 8及其他采用Linux核心版本6.1的设备不受影响,原因是该漏洞在6.4版才引入。
Jaeyoung Chung进一步说明:Google kernelCTF项目累计有约130个可利用漏洞,但仅10个能用于取得Android root权限,Bad Epoll正是其中之一。原因是其他类似Copy Fail漏洞需要搭配特定模块利用,而Android恰好不加载这些模块——这反而让Bad Epoll成为Android上少数可用的提权路径之一。
四、补丁状态与处置建议
✅ 补丁已入主线,处置分两步走
第一步:Bad Epoll的修补程式已于2026年4月底合并至Linux核心主线(CVE-2026-46242)。使用主线内核的用户应确保更新至最新版。
第二步:各Linux发行版需将主线的修补机制回溯移植至各自维护的内核分支。请检查你的发行版核心安全更新,确认是否已推送包含CVE-2026-46242补丁的版本更新。
🔧 运维处置建议
-
立即核查:
运行
uname -r确认内核版本;若显示6.4及以上版本,立即检查安全更新 -
关注发行版公告:
Red Hat、SUSE、Debian、Ubuntu、Amazon均已发布安全通告,对照检查是否已在你的版本上推送补丁
-
Android用户:
Pixel 10用户需等待Google推送2026年7月安全补丁更新;其他机型(6.1内核)暂不受影响
-
无补丁期间的缓解:
由于epoll无法禁用,暂时没有简单的workaround;核心缓解手段就是尽快打补丁
-
服务器场景特别注意:
运行Nginx、Redis、HAProxy等依赖epoll的高并发服务,务必优先修复——这些服务的root权限落入攻击者手中影响最为严重
五、漏洞时间线
| 时间 | 事件 | | — | — | | 2023年4月 | 问题代码被引入Linux核心epoll子系统(Bad Epoll + CVE-2026-43074同源) | | 2026年2月 | 首尔大学电脑安全实验室向Linux核心安全团队通报漏洞,维护者补丁原型不正确 | | 2026年4月初 | Anthropic AI模型Mythos发现CVE-2026-43074(另一epoll竞态漏洞),补丁入主线 | | 2026年4月底 | Jaeyoung Chung团队通报Bad Epoll(CVE-2026-46242),补丁合并至Linux核心主线 | | 2026年5月底 | CVE-2026-46242正式分配编号,CVSS 7.8 | | 2026年6月底 | 安全社群开始广泛关注Bad Epoll | | 2026年7月5日 | iThome等媒体开始广泛报道 |
六、同期相关:DirtyClone 漏洞
与Bad Epoll同期(2026年6月29日),Linux核心还披露了另一个高危本地权限提升漏洞DirtyClone(CVE编号待定),CVSS严重度评分高达8.8分,影响覆盖Linux服务器与桌面系统。两个高危内核漏洞在短期内连续曝光,Linux生态面临较大的补丁压力。
提醒:如服务器同时存在DirtyClone和Bad Epoll两个漏洞被利用,攻击者可在数秒内完成从普通用户到root的完整权限提升,强烈建议优先测试并部署补丁。
END
阅读推荐
【安全圈】Linux惊现”Bad Epoll”零日漏洞,服务器和安卓均中招
【安全圈】今天是deadline!微软SharePoint高危漏洞正在被疯狂利用
【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联
【安全圈】Claude 解封!特朗普政府撤销对 Anthropic 的限制
【安全圈】Claude 解封!特朗普政府撤销对 Anthropic 的限制
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】Linux本地权限提升漏洞「Bad Epoll」曝光:CVSS 7.8》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论