近日, CVE 官网披露 Linux 内核 net/sched 子系统 act_pedit 模块存在本地提权漏洞(CVE-2026-46331),该漏洞允许本地低权限用户或容器内攻击者获取 root 权限,PoC 及 EXP 均已公开,受影响版本包含 OpenCloudOS 8、OpenCloudOS 9;接到漏洞情报后,OpenCloudOS 社区安全 SIG 与开发团队第一时间完成深入分析,已完成紧急修复,修复内核版本将在充分验证后通过官方软件源发布,建议您本文提供的措施自查并规避风险。由于漏洞涉及内核 act_pedit 模块,需结合内核版本和 user namespace 开启情况进行判断。建议用户检查系统当前OS版本、内核版本及编译选项。
2.1 受影响版本及内核版本
2.2 查看环境中的内核编译选项及配置
排查以下选项及配置:
# 以下选项为 is not set,就不受影响,否则继续向下排查cat /boot/config-$(uname -r) | grep -w CONFIG_NET_ACT_PEDIT# 以下命令输出为 0 则不受影响sysctl user.max_user_namespaces
若以上排查均受影响,则需要应用以下正式修复或临时缓解措施。
建议受影响用户通过官方软件源更新至对应内核修复版本,并在业务变更窗口重启系统,使修复后的内核生效。
| | |
|---|
| | https://mirrors.opencloudos.tech/opencloudos/8.10/BaseOS/x86_64/os/Packages/kernel-5.4.241-30.17.29.oc8.x86_64.rpmkernel-core:https://mirrors.opencloudos.tech/opencloudos/8.10/BaseOS/x86_64/os/Packages/kernel-core-5.4.241-30.17.29.oc8.x86_64.rpmkernel-modules:https://mirrors.opencloudos.tech/opencloudos/8.10/BaseOS/x86_64/os/Packages/kernel-modules-5.4.241-30.17.29.oc8.x86_64.rpm |
| | https://mirrors.opencloudos.tech/opencloudos/9.6/BaseOS/x86_64/os/Packages/kernel-6.6.119-49.27.oc9.x86_64.rpmkernel-core:https://mirrors.opencloudos.tech/opencloudos/9.6/BaseOS/x86_64/os/Packages/kernel-core-6.6.119-49.27.oc9.x86_64.rpmkernel-modules:https://mirrors.opencloudos.tech/opencloudos/9.6/BaseOS/x86_64/os/Packages/kernel-modules-6.6.119-49.27.oc9.x86_64.rpm |
修复方式:
sudo dnf update -y kernel
完成内核更新并重启后,建议执行以下命令确认当前运行内核已切换至修复版本:
确认输出版本不低于对应 OpenCloudOS 修复版本后,可视为内核修复已生效。
备注:如您无法通过在线方式进行内核升级,请下载内核及相关依赖的离线包(上表中最右列),进行手动安装。
如您业务环境不允许或不方便通过以上方式进行修复,可通过禁止 act_pedit模块的加载,对漏洞进行阻断。
注意:这将导致部分依赖 act_pedit 进行网络数据包修改的功能无法正常工作,请业务排查后执行。
用 root 用户执行下述命令
sh -c "printf 'install act_pedit /bin/false\n' > /etc/modprobe.d/block-cve-2026-46331.conf; rmmod act_pedit 2>/dev/null; true"
执行完成后检查应用是否成功,用 root 用户执行下列命令
cat /etc/modprobe.d/block-cve-2026-46331.conf# 应当回显:# install act_pedit /bin/falsecat /proc/modules | grep act_pedit# 应当回显空
OpenCloudOS 开源社区是由操作系统、云平台、软硬件厂商与个人携手打造中立开放、安全稳定且高性能的 Linux 操作系统及生态。目前已实现从源社区、商业版、到社区稳定版全链路覆盖,旨在输出经海量业务验证的企业级稳定操作系统版本,为行业解决国产操作系统上下游供应问题,促进基础软件可持续发展。点击下方图片,了解加入社区权益与方式↓