2026 年 5 月 Linux 内核 3 周内现第 4 个高危漏洞，情况怎么样？

三周一漏洞 内核安全告急

在2026年5月21日的时候，科技媒体cyberkendra发布了最新的报告，Linux内核在仅仅三周的时间之内，连续出现了第四个高危漏洞，这引发了全球安全圈的强烈震动，从4月29日的Copy Fail开始，到5月7日的Dirty Frag，接着是5月13日的Fragnesia，再到如今5月20日所披露的CVE - 2026 - 46333，其攻击频率之高，实在令人惊掉下巴。北京时间5月20日，Qualys威胁研究部门（TRU）正式公开这一可让本地低权限用户借此读取敏感文件并以root权限执行任意命令的漏洞细节。

潜伏九年的定时炸弹

位于内核的__ptrace_may_access函数中的 CVE - 2026 - 46333 漏洞，于近九年期间持续潜藏于主线内核之内 ，接着某些高权限进程在“降权”期间发生了本应被阻断的 ptrace 访问路径短暂可用的状况 ，进而酿成相当严重的安全缺口 ，此状况预示着攻击者得以绕开权限检查 ，并于进程降权后的脆弱时间窗口发动攻击 ；该漏洞波及范围极为广泛 ，像 Debian 、Ubuntu 以及 Fedora 等主流发行版均被牵涉其中。

文件描述符盗窃技术

TRU团队又进一步进行了披露，此漏洞与pidfd_getfd系统调用相配合，因而攻击者能够从目标进程当中“拿走”那些仍旧处于打开状态的文件描述符。这种组合起来的攻击手法鉴于Linux安全史上是较为罕见的，在于它使得攻击者不需要直接去篡改文件系统，便能够窃取敏感数据。pidfd_getfd本来是用来做进程间文件描述符传递的，然而在CVE - 2026 - 46333漏洞的背景之下，它变成了助纣为虐的这么一个利器。

四大PoC攻击全解析

在TRU团队所发布的概念验证（PoC）里头，精心制作出了四个可运行利用程序呢，分别是chage、ssh - keysign、pkexec还有accounts - daemon ，这些程序在Debian 13的默认安装环境里经过验证是有效的，在Ubuntu 24.04的默认安装环境里也是验证有效的，在Ubuntu 26.04的默认安装环境里同样经过验证有效，在Fedora 43的默认安装环境里也验证是有效的，在Fedora 44的默认安装环境里其验证了也是有效的。可被攻击者实现的是，root命令执行或者凭据窃取，其中于短暂运行阶段，ssh-keysign会以root身份去打开SSH主机私钥文件，这使得ssh-keysign成为攻击者着重关注的目标。

SSH私钥泄露风险

一旦攻击成功，攻击者能够窃取，/etc/ssh/ssh_host_ecdsa_key、ssh_host_ed25519_key以及ssh_host_rsa_key的打开句柄。这表明，系统SSH身份验证的基石将会被完全瓦解，攻击者可以伪装成合法主机进行中间人攻击。对于那些依赖SSH进行远程管理的服务器、云环境以及开发平台来讲，这一漏洞的威胁级别丝毫不亚于去年被曝出的Dirty Pipe漏洞。

修复补丁紧急发布

上游修复补丁是由Linus Torvalds本人亲自提交的，其提交拥有commit编号31e62c2ebbfd。当下Debian、Fedora、Red Hat、SUSE、AlmaLinux以及CloudLinux其他主要发行版已经紧急回传了该补丁。TRU团队告知所有Linux用户要立刻将内核更新至最新版本，还要去检查系统日志里是不是存在异常ptrace调用行为。对于系统不能够马上进行更新，可以针对这个情况，提出建议，建议是临时去限制那些并非拥有特权的用户对于ptrace的访问权限。

当下你这般的Linux系统是不是业已把最终的内核补丁给更新好了呀，诚挚欢迎于评论区域阐释你自身拥有的安全防护方面的经验，对本文给予点赞操作并且实施转发行为，从而助力更多的人去摆脱这一具有高度危险性质漏洞所带来的威胁哦。

猜你喜欢