
关键词
漏洞
epoll是Linux核心提供的高效I/O事件通知机制(I/O Multiplexing),广泛应用于Nginx、Redis、HAProxy等需要同时处理大量连接的网络服务器。它能让一个线程同时监控大量文件描述符(FD),包括网络socket、pipe、eventfd等,而无需为每个连接单独建立线程。
关键问题:因为epoll是内核级基础组件,无法禁用,所以Bad Epoll没有简单的缓解手段,唯一有效的补救措施就是套用官方补丁。
Bad Epoll漏洞的根源在于epoll实现中的竞态条件(Race Condition)引发的UAF(Use-After-Free,释放后重用)问题:
值得特别注意的是,Bad Epoll与另一CVE-2026-43074均源自2023年4月引入的同一段epoll代码——两个漏洞同时潜伏了约3年才被发现。
2026年2月,韩国首尔大学电脑安全实验室将Bad Epoll问题通报Linux核心安全团队,但维护者提出的补丁原型并非正确解决方案,讨论随后陷入停滞。
转折点:2026年4月初,Anthropic的顶尖AI模型Mythos在代码审计中独立发现了其中一个epoll竞态条件漏洞(CVE-2026-43074),补丁随后合并至Linux核心主线。
2026年4月底,首尔大学Jaeyoung Chung团队进一步通报Mythos漏掉的另一个epoll竞态条件漏洞(即Bad Epoll,CVE-2026-46242),补丁也于此时合并至Linux核心主线。
AI辅助漏洞挖掘再下一城:继Anthropic Mythos在2026年4月创下批量挖掘高危漏洞的记录后,Bad Epoll案例再次证明AI在代码安全审计领域的实用价值。
使用Linux核心6.4版或更新版本,且未将修补机制回溯移植(backport)的发行版均受影响。Linux核心6.1版不受影响(问题在6.4版才引入)。
已公告存在CVE-2026-46242的发行版:
Pixel 10(Linux核心版本6.6及以上):Bad Epoll的PoC程序会触发UAF,存在被利用风险。
Pixel 8及其他采用Linux核心版本6.1的设备不受影响,原因是该漏洞在6.4版才引入。
Jaeyoung Chung进一步说明:Google kernelCTF项目累计有约130个可利用漏洞,但仅10个能用于取得Android root权限,Bad Epoll正是其中之一。原因是其他类似Copy Fail漏洞需要搭配特定模块利用,而Android恰好不加载这些模块——这反而让Bad Epoll成为Android上少数可用的提权路径之一。
第一步:Bad Epoll的修补程式已于2026年4月底合并至Linux核心主线(CVE-2026-46242)。使用主线内核的用户应确保更新至最新版。
第二步:各Linux发行版需将主线的修补机制回溯移植至各自维护的内核分支。请检查你的发行版核心安全更新,确认是否已推送包含CVE-2026-46242补丁的版本更新。
uname -r 确认内核版本;若显示6.4及以上版本,立即检查安全更新与Bad Epoll同期(2026年6月29日),Linux核心还披露了另一个高危本地权限提升漏洞DirtyClone(CVE编号待定),CVSS严重度评分高达8.8分,影响覆盖Linux服务器与桌面系统。两个高危内核漏洞在短期内连续曝光,Linux生态面临较大的补丁压力。
提醒:如服务器同时存在DirtyClone和Bad Epoll两个漏洞被利用,攻击者可在数秒内完成从普通用户到root的完整权限提升,强烈建议优先测试并部署补丁。
END
阅读推荐
【安全圈】Linux惊现"Bad Epoll"零日漏洞,服务器和安卓均中招
【安全圈】今天是deadline!微软SharePoint高危漏洞正在被疯狂利用
【安全圈】FortiBleed 凭证窃取活动与 Lynx 勒索软件有关联
【安全圈】Claude 解封!特朗普政府撤销对 Anthropic 的限制
【安全圈】Claude 解封!特朗普政府撤销对 Anthropic 的限制


安全圈

←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!

好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
