Linux çekirdeğinde keşfedilen CVE-2026-46331 kodlu güvenlik açığı, lokal ve yetkisiz kullanıcıların sistem üzerinde root erişimi elde etmesine imkan tanıyor. “pedit COW” olarak isimlendirilen bu kritik açık, Linux ağ trafiği denetim düzeneğindeki act_pedit bileşeninde yer alan bir bellek bozulması sıkıntısından kaynaklanıyor.

Söz konusu açık, çekirdeğin paket başlıklarını tekrar yazarken kullandığı copy-on-write düzeneğindeki bir yanılgıyı tetikliyor. Bu durum, saldırganların diskteki evraklara dokunmadan bellekteki önbellek kopyalarını zehirleyerek root yetkisiyle süreç yapmasına imkan tanıyor.

Açığın teknik ayrıntıları ve risk altındaki sistemler

CVE-2026-46331, act_pedit bileşenindeki hudut dışı yazma yanılgısı sebebiyle ortaya çıkıyor ve tcf_pedit_act() işlevinin çalışma anındaki offset bedellerini kusurlu işlemesiyle tetikleniyor. Saldırganlar, /bin/su üzere setuid root belgelerinin bellek kopyalarına küçük bir payload enjekte ederek sistem bütünlüğü denetimlerini atlatabiliyor.

Bu açığın başarılı bir biçimde kullanılabilmesi için sistemde act_pedit modülünün yüklü olması ve unprivileged user namespaces özelliğinin faal olması gerekiyor. RHEL 10 ve Debian 13 üzerinde yapılan testler, yetkisiz kullanıcıların bu şartlar altında root düzeyine çıkabildiğini kanıtlıyor.

Ubuntu 26.04 üzere şimdiki dağıtımlar, AppArmor kısıtlamaları sayesinde bu atak yolunu varsayılan olarak kapatsa da çekirdek düzeyindeki temel zafiyet varlığını koruyor. Red Hat, Debian ve Ubuntu’nun birçok farklı sürümü bu güvenlik açığından direkt etkileniyor ve “High” yahut “Important” düzeyinde risk taşıyor.

Güvenlik tedbirleri ve yama süreci

Sistem yöneticilerinin bu açığı kapatmak için ilgili dağıtımların sunduğu yamalı çekirdek sürümlerine geçiş yapması ve sistemlerini tekrar başlatması gerekiyor. Bilhassa çok kullanıcılı sunucular, Kubernetes node’ları ve CI/CD sistemleri bu zafiyet için öncelikli risk kümeleri arasında yer alıyor.

Yama uygulanamayan durumlarda, act_pedit modülünün yüklenmesini engellemek yahut unprivileged user namespaces özelliğini devre dışı bırakmak süreksiz bir tahlil olarak değerlendirilebiliyor. Fakat bu tıp kısıtlamaların rootless container yapıları yahut sandbox ortamları üzerinde yan tesirlere yol açabileceği unutulmamalıdır.

Saldırı direkt page cache üzerinde gerçekleştiği için klasik belge bütünlüğü denetimleri birden fazla vakit yetersiz kalıyor. Bir sistemde root shell açılmışsa, o sistemin büsbütün ele geçirildiğini varsaymak ve gerekli güvenlik prosedürlerini uygulamak büyük değer taşıyor.

Sizce Linux çekirdeğindeki bu cins karmaşık bellek kusurlarının önüne geçmek için ne üzere daha esaslı tahliller geliştirilebilir?

Kaynak: Shiftdelete