🥇PEdit-CoW и DirtyClone — уязвимости в ядре Linux, позволяющие получить root через изменение страничного кэша

Раскрыта информация о двух новых уязвимостях в ядре Linux, позволяющих непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Для обеих уязвимостей подготовлены рабочие эксплоиты.

PEdit-CoW (CVE-2026-46331, эксплоит 1, эксплоит 2) — ошибка при применении механизма copy-on-write в коде изменения заголовков пакетов (act_pedit), используемом в планировщике сетевых пакетов (net/sched), позволяет записать данные за пределы выделенного буфера, что может использоваться для перезаписи данных в страничном кэше по выбранному смещению. Ошибка вызвана тем, что проверка допустимой области для записи данных производилась без учёта того, что смещение на редактируемые поля может измениться во время выполнения операции.
Проблема проявляется начиная с ядра Linux 5.18 и устранена в выпусках 7.1, 7.0.13, 6.18.36 и 6.12.94. Заявлена возможность эксплуатации проблемы в RHEL 8/9/10, Debian 11/12, openSUSE Leap 15.6, SUSE Linux 15-SP7/16.0 и Ubuntu 18.04-25.10 (в версии Ubuntu 26.4 по умолчанию заблокировано создание user namespace). В качестве обходного пути защиты рекомендуется заблокировать загрузку модуля ядра act_pedit (перестанут работать правила ограничения трафика и перезапись заголовков через «tc pedit»)»
echo «blacklist act_pedit» > /etc/modprobe.d/blacklist-act-pedit.conf
rmmod act_pedit
DirtyClone (CVE-2026-43503, эксплоит) — обходной путь эксплуатации уязвимости Dirty Frag в модуле xfrm-ESP, применяемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload). Для клонирования структуры skb в новом эксплоите используется манипуляция с TEE-расширением к netfilter (модуль xt_TEE), выполняющим операцию клонирования сетевых пакетов.
Уязвимость устранена в выпусках ядра Linux 7.1, 7.0.10, 5.10.257, 5.15.208, 6.1.174, 6.6.141, 6.12.91 и 6.18.33. Проблема проявляется в Debian, Ubuntu, Fedora,
RHEL и SUSE. В качестве обходного пути блокирования уязвимости можно запретить загрузку модулей ядра esp4 и esp6.

Для эксплуатации обеих уязвимостей требуются права доступа CAP_NET_ADMIN, которые непривилегированный пользователь может получить через создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl «kernel.apparmor_restrict_unprivileged_userns=0» или профили AppArmor. В остальных дистрибутивах доступность «user namespace» непривилегированным пользователям зависит от выставления sysctl «kernel.unprivileged_userns_clone» (если 0, то запрещено).

Эксплуатация уязвимостей сводится к чтению файла программы /bin/su с флагом suid root, для его оседания в страничном кэше, и замене в страничном кэше части кода программы кодом для запуска /bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Дополнительно можно отметить создание эксплоита для уязвимости CVE-2026-23111 в подсистеме nf_tables, устранённой в февральских обновлениях ядра Linux. Уязвимость вызвана обращением к памяти после её освобождения (use-after-free) и позволяет непривилегированному пользователю получить права root в системе. Для атаки и у пользователя должна быть возможность создания пространств имён идентификаторов пользователей (user namespace). Работа эксплоита продемонстрирована в
Debian 12/13 и Ubuntu 22.04/24.04.

Источник: opennet.ru

PEdit-CoW и DirtyClone — уязвимости в ядре Linux, позволяющие получить root через изменение страничного кэша

Erik Peterson