漏洞名称:
Linux Kernel ptrace 权限提升漏洞
组件名称:
Linux Kernel
影响范围:
commit version < 31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a(截至 2026 年 5 月18日全部稳定版本均受影响)
目前确定受影响的版本:
Raspberry Pi OS Bookworm 6.12.75
Debian 13
Ubuntu 22.04 / 24.04 / 26.04
Arch
CentOS 9
漏洞类型:
权限提升
利用条件:
1、用户认证:需要用户认证
2、前置条件:默认配置
3、触发方式:本地
综合评价:
<综合评定利用难度>:中等,需要本地低权限执行条件。
<综合评定威胁等级>:高危,可读取密码等高敏感文件。
官方解决方案:
已发布
Linux内核(Linux Kernel)是一个开源的操作系统内核,它是Linux操作系统的核心组件,负责管理计算机的硬件资源,并提供了许多系统服务,如进程管理、内存管理、文件系统管理和设备驱动程序等。
2026年5月15日,深瞳漏洞实验室监测到一则Linux Kernel组件存在权限提升漏洞的信息,漏洞威胁等级:高危。
该漏洞核心在于ptrace_may_access()在目标进程内存映射为空(task->mm == NULL)时会跳过关键的 dumpable 安全检查;进程退出时先调用exit_mm()清空内存映射、再调用exit_files()关闭文件描述符,这一顺序形成高危竞争窗口,同 UID 攻击者可通过pidfd_getfd()窃取进程退出瞬间仍持有的打开文件描述符。
深瞳漏洞实验室已成功复现Linux Kernel ptrace 权限提升漏洞(SF_2026_16430)
目前受影响的Linux Kernel版本:
commit version < 31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a(截至 2026 年 5 月 14 日全部稳定版本均受影响)
目前确定受影响的版本:
Raspberry Pi OS Bookworm 6.12.75
Debian 13
Ubuntu 22.04 / 24.04 / 26.04
Arch
CentOS 9
Linus Torvalds 已于 2026 年 5 月 14 日提交修复 commit 31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a。用户应尽快将内核升级至已包含此补丁的版本。 下载地址:https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a
执行以下代码将kernel.yama.ptrace_scope设置为3能彻底阻止普通用户使用ptrace和pidfd_getfd相关功能
echo "kernel.yama.ptrace_scope = 3" | sudo tee /etc/sysctl.d/99-ptrace-restrict.conf
sudo sysctl -p /etc/sysctl.d/99-ptrace-restrict.conf
漏洞主动检测
支持对Linux Kernel ptrace 权限提升漏洞(SF_2026_16430)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜YJ】预计2026年05月30日发布检测方案,规则ID:SF-2026-00914。
【深信服可拓展检测响应平台XDR】预计2026年05月30日发布检测方案(需要具备云镜组件能力),规则ID:SF-2026-00914。
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a
深瞳漏洞实验室监测到Linux Kernel ptrace 权限提升漏洞信息。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。