New Linux pedit COW Exploit Allows Attackers to Gain System Root Access
2026/06/26 CyberSecurityNews — 新たに公開された Linux Kernel の脆弱性 CVE-2026-46331 は、Copy-on-Write (COW) のページ・キャッシュ破損の欠陥と、”net/sched” サブシステムの act_pedit コンポーネントを組み合わせたものである。この脆弱性を悪用する低権限のローカル攻撃者は、複数の主要な Linux ディストリビューションにおいて、完全な root 権限への昇格が可能となる。この “packet_edit_meme” と呼ばれるエクスプロイトは、現時点でサポート対象となっているエンタープライズ/コンシューマー向け Kernel を対象として、2026年6月に検証されている。

この脆弱性の根本的な原因は、Kernel コミット 899ee91156e5 で導入された部分的な COW ページ・キャッシュ破損バグにある。具体的には、Linux の traffic control (tc) フレームワークのトラフィック編集コンポーネントである、”net/sched act_pedit” サブシステムに存在する。Linux Kernel v5.18〜v7.1-rc6 に存在し、v7.1-rc7 で修正されている。
攻撃チェーンは、CAP_NET_ADMIN 権限を持つ user namespace の子プロセスを生成することから開始される。未特権 user namespace がデフォルトで有効化されているシステムでは、権限を持たないユーザーであっても、この権限の取得が可能である。
その後に、COW ページ・キャッシュ破損プリミティブを悪用するエクスプロイトにより、setuid-root バイナリ “/bin/su” のページ・キャッシュ済み ELF エントリ・ポイントが上書きされる。それにより、setgid(0)/setuid(0)/execve(“/bin/sh”) を実行するシェルコードが注入され、攻撃者による root シェルの取得が成立する。
今回の脆弱性は、最近の Linux システムにおける 4 件目の権限昇格の欠陥である。
| Vulnerability | CVE | Disclosed | Subsystem | Write Primitive | Root Required? |
|---|---|---|---|---|---|
| Copy Fail | CVE-2026-31431 | April 30, 2026 | algif_aead (AF_ALG crypto) | 4-byte page-cache write | No |
| DirtyFrag | CVE-2026-43284 / CVE-2026-43500 | May 8, 2026 | IPsec ESP (xfrm) + RxRPC | Full write primitive (chained) | No |
| Fragnesia | CVE-2026-46300 | May 14, 2026 | XFRM ESP-in-TCP | Arbitrary byte write | No |
| pedit COW | CVE-2026-46331 | June 26, 2026 | net/sched act_pedit | Out-of-bounds page-cache write | No |
影響を受けるディストリビューション
この検証テストにより確認されたのは、広く導入されている複数のディストリビューションで悪用が成功することである。
| Distribution | Kernel | Flag | Result |
|---|---|---|---|
| RHEL 10.0 | 6.12.0-228.el10 | None | ROOT |
| Debian 13 (Trixie) | 6.12.90+deb13.1 | None | ROOT |
| Ubuntu 24.04.4 | 6.17.0-22 | --ubuntu | ROOT |
| Ubuntu 26.04 | 7.0.0-14-generic | --ubuntu | FAIL |
RHEL と Debian は、未特権 user namespace がデフォルトで有効化されているため、フラグを指定しなくても直ちに悪用できる状態である。RHEL には cls_basic および em_meta モジュールが存在しないが、エクスプロイトは自動的に matchall へとフォールバックし、同じ破損プリミティブを実現する。
Ubuntu では、未特権ユーザーによる user namespace の作成を制限するための、以下の sysctl が適用されている。
- kernel.apparmor_restrict_unprivileged_userns:制限されていない user namespace の作成をブロックする。
- kernel.apparmor_restrict_unprivileged_unconfined:aa-exec の permissive プロファイルが、この制限を解除することを防止する。
–ubuntu フラグが指定されると、trinity/chrome/flatpak などの userns ルールを持つ permissive プロファイルを介して、aa-exec 経由でエクスプロイトが再実行され、AppArmor による user namespace 作成の制限が事実上バイパスされる。
このバイパスは、Ubuntu 24.04.4 (unconfined=0) で機能するが、Ubuntu 26.04 (unconfined=1) では修正済みである。この制限が強化されたことで、上記の再実行経路全体がブロックされる。
緩和策
すでに Red Hat は、公式セキュリティ情報 RHSB-2026-008 を公開している。管理者に強く推奨されるのは、直ちに Kernel パッチを適用し、運用上可能な場合には sysctl を使用して未特権 user namespace の作成を制限し、予期しない aa-exec の呼び出しや namespace 作成イベントを監視することである。特に、v5.18 〜 v7.1-rc6 の Kernel を実行している組織は、この問題に対するパッチを最優先で適用する必要がある。
訳者後書:この脆弱性は、 Linux Kernel の変更の際に入り込んだ Copy-on-Write (COW) におけるページ・キャッシュの破損バグに起因します。そこにトラフィック制御を行う net/sched サブシステムの act_pedit というコンポーネントの動作が組み合わさることで問題が引き起こされます。本来であれば一般のユーザーが変更できないはずの重要な領域のデータが、この二つの要因により書き換えられてしまいます。その結果、低権限のローカル攻撃者が、最上位の root 権限へ昇格できるようになってしまいます。ご利用のチームは、ご注意ください。よろしければ、Linux kernel での検索結果も、ご参照ください。
You must be logged in to post a comment.