- O vulnerabilitate în subsistemul de control al traficului din kernel-ul Linux permite unui utilizator local neprivilegiat să obțină acces root, printr-un exploit public deja disponibil.
O nouă vulnerabilitate critică în kernel-ul Linux, denumită „pedit COW” și înregistrată ca CVE-2026-46331, permite unui atacator local neprivilegiat să escaladeze privilegii până la nivel de root. Defectul se află în subsistemul de control al traficului (traffic control), mai exact în acțiunea de editare a pachetelor (act_pedit), și duce la o scriere în afara limitelor (out-of-bounds write).
Ce este exploitul pedit COW
Exploitul „pedit COW” (Copy-On-Write) corupe memoria partajată a paginii cache, permițând modificarea fișierelor binare care sunt executate de către root. Prin otrăvirea acestor binare cache, atacatorul poate executa cod arbitrar cu privilegii de root. Publicarea unui exploit funcțional a avut loc la doar o zi după atribuirea CVE-ului, pe 16 iunie 2026.
Impact și severitate
Red Hat a evaluat această vulnerabilitate ca având un impact ridicat, deși nu a fost încă clasificată oficial cu un scor CVSS. Afectate sunt toate distribuțiile Linux care utilizează kernel-uri cu subsistemul de control al traficului activat. Atacul necesită acces local la sistem, dar nu necesită autentificare suplimentară. Exploatarea cu succes oferă control total asupra sistemului compromis.
Cum funcționează atacul
Vulnerabilitatea exploatează o eroare în mecanismul de copiere la scriere (COW) din nucleu. Atacatorul poate forța o condiție de cursă între operațiile de scriere și citire în memoria cache, ceea ce duce la coruperea datelor. Prin manipularea conținutului unui fișier binar de sistem (de exemplu, /usr/bin/su), acesta poate fi înlocuit cu un cod malitios care se execută cu drepturi de root.
Măsuri de atenuare
Administratorii de sisteme Linux sunt sfătuiți să aplice imediat patch-urile furnizate de distribuțiile lor. Red Hat, Ubuntu, Debian și alte distribuții majore au lansat deja actualizări de securitate pentru kernel. Până la aplicarea patch-ului, se recomandă limitarea accesului local doar utilizatorilor de încredere și dezactivarea subsistemului de control al traficului dacă nu este necesar.
Ce înseamnă pentru tine
Dacă rulezi un server sau o stație de lucru Linux, trebuie să aplici cât mai rapid actualizările de kernel. Verifică dacă distribuția ta a lansat un patch pentru CVE-2026-46331. În lipsa acestuia, asigură-te că accesul local este restricționat strict. Pe sistemele partajate sau cu utilizatori neprivilegiați, riscul este semnificativ. Monitorizează buletinele de securitate ale distribuției tale pentru actualizări.