一项新披露的 Linux 内核漏洞正引发广泛关注。研究人员已经证明,该漏洞可以在受影响的 Linux 系统和 Android 设备上可靠地将未特权用户提升为完全的 root 权限。该漏洞已编号为 CVE-2026-46242,并被昵称为“Bad Epoll(坏的 epoll)”。由于它影响的是 Linux 最基础的内核子系统之一,因此在不安装安全更新的情况下尤其难以缓解。
与许多近期的 Linux 提权漏洞不同,这些漏洞往往依赖可选内核模块或较为冷门的特定配置;“Bad Epoll”位于内核的 epoll 实现中——一种高性能的事件通知机制,被 Web 服务器、数据库、浏览器、云服务、网络软件以及 Android 本身广泛使用。由于 epoll 是正常操作系统功能的关键组成部分,管理员几乎没有现实可行的替代方案,除非安装由 Linux 发行版和 Android 厂商提供的已修补内核。
该漏洞由安全研究人员 Jaeyoung Chung 发现,他通过谷歌的 kernelCTF 漏洞赏金计划提交了可工作的利用程序。该利用程序表明,即使是普通的本地用户账号,也可以被转换为具有完全特权的 root 会话;在测试的系统上,尽管利用的是一个极其短小的竞争窗口(race window),其成功率仍可达到约 99%。
Linux最重要的组件之一中隐藏的缺陷
受影响的子系统是 epoll,它已经存在多年,作为 Linux 中最高效的机制之一,用于在不消耗过多 CPU 资源的情况下监控成千上万个同时存在的文件描述符。
几乎每一台现代 Linux 服务器都依赖 epoll。像 Nginx、Apache 这样的流行 Web 服务器,以及应用服务器、容器平台、数据库、反向代理、消息系统和无数网络应用都使用它,以高效处理大量并发连接。
包括 Chrome 在内的现代浏览器也高度依赖 epoll 进行事件处理;而 Android 则继承了同样的内核功能,因为其操作系统构建在 Linux 内核之上。
如此广泛的使用范围使得 epoll 中的漏洞尤为关键。禁用该子系统将会在实际上严重瘫痪操作系统的大部分功能,因此修补(打补丁)将是唯一现实的防御措施。