Linux内核高危漏洞Bad Epoll:普通用户可获得root权限影响服务器和安卓
一个被命名为"Bad Epoll"的新Linux内核漏洞(CVE-2026-46242)让普通本地用户无需任何特殊权限即可完全接管一台机器的root权限。它影响Linux桌面、服务器和安卓设备,补丁已经存在——但很多发行版还没有下发。
Epoll是Linux的一个核心功能,让程序能同时监视大量文件或网络连接。服务器、网络服务和浏览器都依赖它,根本没有办法直接关掉。
漏洞本质:一个六条指令宽的竞争窗口
Bad Epoll是一个"释放后使用"(use-after-free)漏洞。内核的两个部分几乎同时尝试清理同一个内部对象——一个释放了内存,另一个还在往里写。这个短暂的碰撞让攻击者可以破坏内核内存,然后从普通账户爬到root。
研究员Jaeyoung Chung(首尔国立大学CompSec Lab)找到了这个漏洞并构建了可运行的攻击,在经过测试的kernelCTF目标上成功率约为99%,并将其作为零日提交给了Google的kernelCTF项目。
漏洞来自2023年一个针对epoll代码的提交。同一段约2500行的代码里实际上引入了两个独立的竞争条件。第一个(CVE-2026-43074)被Anthropic的AI模型Mythos发现,这本身已经相当不易——内核竞争漏洞出了名地难找,即便对有经验的人类审计员也是如此。第二个,也就是Bad Epoll,Mythos漏掉了。Chung给出了两个可能的原因:竞争窗口只有六条指令宽,线程交错的精确时序即便盯着代码也很难脑补出来;另外,第一个漏洞修复后,Bad Epoll的内存错误通常不会触发内核的主要内存错误检测器KASAN,留下的运行时证据几乎为零。
谁在风险之内
受影响的是基于Linux内核v6.4或更新版本、且尚未接收到补丁回移版本的系统。运行v6.1内核的旧设备不受影响,因为漏洞引入于v6.4。上游修复(提交a6dc643c6931)于2026年4月24日落入主线,但在公开披露前悄悄等了整整70天,期间没有任何公告。Bad Epoll可以从Chrome浏览器的渲染器沙盒内部触发,这在一定程度上扩大了攻击面。
攻击者仍然需要一个本地代码执行的立足点——被入侵的Web应用、shell账户、恶意CI任务、浏览器沙盒逃逸或容器工作负载都可以成为跳板。但这正是本地root漏洞持续受到关注的原因:有限的立足点加上内核提权,就意味着主机的完全沦陷。
在安卓方面,运行内核v6.6或更新版本的设备(主要是2024年后发布的Pixel 10等旗舰机型)在风险范围内,安卓exploit仍在进行中。
截至2026年7月4日,CVE-2026-46242还未出现在CISA的已知利用漏洞目录中,目前也没有确认的在野利用记录。但公开PoC已经存在,武器化的门槛很低。
如何应对
没有配置开关可以绕过这个漏洞——epoll无法被禁用。唯一实质性的修复是应用打了补丁的内核,或各发行版提供的修复回移包。系统管理员应立即检查 Linux 发行版(Ubuntu、RHEL、Debian、SUSE等)是否已发布包含CVE-2026-46242修复的内核更新,并在完成软件包更新后重启进入新内核。如果系统允许不受信任的本地代码执行且短期内无法重启,可以临时审查shell访问权限、暂停不可信CI任务、收紧容器接入策略,直到打了补丁的内核上线。