近日,一个新披露的Linux内核高危漏洞引发关注。该漏洞可让攻击者在受影响系统中非法获取SSH私钥、用户密码哈希等核心敏感数据。少见的是,Linux创始人Linus Torvalds 在漏洞披露的当天就发布了专项修复补丁(commit 31e62c2ebbfd),可见该漏洞的危险性之高。
该漏洞编号为CVE-2026-46333,被命名为“ssh-keysign-pwn”。漏洞成因是Linux内核ptrace访问控制逻辑中的__ptrace_may_access()函数存在缺陷。该函数原本用于约束进程间查看与交互行为,但在 task->mm == NULL 的特殊状态下,它会跳过 dumpable 检查,进而触发高危竞态条件。这个状态出现在进程退出的短暂窗口里:进程已经释放内存,但文件描述符还没关闭。当ssh-keysign、chage等高权限进程结束运行之际,这样的窗口就会出现。攻击者可在此时借助pidfd_getfd()接口窃取文件描述符,绕过权限校验,非法读取各类敏感文件,包括SSH 私钥,以及/etc/shadow文件中操作系统用户的密码(口令) Hash值。
Qualys等权威安全机构预警,该漏洞可造成多种严重后果,包括但不限于:
SSH 私钥被盗,攻击者可冒充用户与服务器进行身份认证。由于SSH被广泛应用于服务器登录,且大量环境存在使用同一套SSH密钥登录多个服务器的情况,单台主机沦陷极易引发全网连锁安全风险;
非法读取/etc/shadow文件,获取密码哈希实施离线暴力破解,由此窃取到的用户凭证可被攻击者用于在内网环境实现横向渗透。
该漏洞的危险之处在于,攻击者只需要本地普通用户权限就能够利用,不需要 root 权限,也不需要额外特殊许可。只要调用者 UID 与目标进程一致,就能在目标高权限进程即将退出时“劫持”已打开的文件描述符。
率先披露该漏洞的网络安全公司 Qualys指出,该漏洞起码可追溯到 2020 年,即已存在至少 6 年时间。这意味着大量长期未更新的服务器与业务主机均处于高危状态。所有稳定版 Linux 内核都受到影响,已确认存在问题的Linux发行版包括 Arch Linux、Debian、Ubuntu、CentOS 和树莓派系统。
专家建议,企业及网络运维人员需第一时间落实多项安全防护举措:
尽快升级Linux内核,部署CVE-2026-46333专项安全补丁;
优先对核心业务服务器完成全量SSH密钥轮换;
定期审计/etc/shadow等高敏感文件访问日志;
实时监控服务器内异常ptrace、pidfd相关系统调用行为;
严格收缩本地普通用户权限,该漏洞利用需本地访问权限。

在飞天诚信看来,部署FIDO Security Key,不失为一种立竿见影的紧急应对措施,也是一种长期有效的风险缓解措施:
飞天诚信FIDO Security Key能够与常用的SSH实现(例如OpenSSH)集成,将SSH私钥保存在设备内部而不是操作系统中的文件,彻底杜绝ssh-keysign-pwn的威胁;
飞天诚信FIDO Security Key能够被配置用于Linux本地登录,登录时需要用户密码(口令)和FIDO Security Key两者兼而有之,有效缓解本地用户密码(口令)泄露的风险。
CVE-2026-46333的披露再次提醒我们:在复杂的系统内核中,一个看似微小的逻辑缺陷,仍可能成为威胁全球数百万服务器的"定时炸弹"。对于企业而言,漏洞修复不应只是"打补丁"这么简单。面对此类内核级威胁,我们需要建立纵深防御体系:从及时的系统更新、密钥轮换,到基于硬件的强身份认证,每一层防护都至关重要。
飞天诚信深耕网络身份认证二十余年,构建了“云、端、芯”全栈自主知识产权核心技术体系。面对层出不穷的内核级威胁,我们坚信,唯有将硬件级安全根基与软件生态深度融合,才能为企业和用户筑起真正可信的数字防线。未来,飞天诚信将继续以FIDO等国际标准为基石,以自主可控的技术创新为驱动,与广大安全从业者一道,当好网络空间安全的“守门人”,守护每一条数字通道的安全,让每一次登录都值得信赖。
——THE END——

“SSH+FIDO”:飞天诚信FIDO Security Key与OpenSSH集成