Linux カーネルのトラフィック制御アクション act_pedit に潜む部分 COW (Copy-on-Write) 不備の脆弱性 CVE-2026-46331 — 通称「pedit COW」— について、公開済みの PoC で setuid バイナリのページキャッシュを汚染し root を取れることが確認できた、と The Hacker News が報じました。CVE は 6月16日に kernel.org の CNA から発番、PoC は翌 6月17日に公開済みです。
主なポイント
tcf_pedit_act()が実行時のオフセットを反映せず COW 範囲を確定するため、共有ページに書き込んでしまう Out-of-Bounds Write- PoC は
/bin/suのキャッシュ済みイメージを書き換え、ディスク上のファイルには触れず root シェルを得る - 攻撃には
act_peditのロード可能性と unprivileged user namespaces が有効である必要 (CAP_NET_ADMIN を namespace 内で取得) - ファイル整合性チェックはディスク版を見るため検知が困難
- Red Hat の評価は Important。RHEL 8/9/10、AlmaLinux 8、Debian 13 のベンダパッチ済みカーネルへ更新し、再起動が必要
出典: New Linux pedit COW Exploit Enables Root Access by Poisoning Cached Binaries - The Hacker News