
Linux内核一字漏洞致本地提权,公开利用已现
安全研究人员已公开一份可用的 Linux kernel 利用,针对 CVE-2026-23111。该 use-after-free 位于 nf_tables,未特权本地用户可提权至 root 并逃出容器;受影响系统需同时启用 nf_tables 与 unprivileged user namespaces。建议立即更新内核并重启。
安全研究人员已经发布了一个详细、可工作的 Linux kernel use-after-free 利用,它可让未特权的本地用户提权为 root,并逃出容器。
这个漏洞 CVE-2026-23111 位于 kernel 的 nf_tables packet-filtering 代码中,并已于 2026 年 2 月 5 日在 upstream 修复。Exodus Intelligence 于 6 月 8 日发布了完整技术解析,而这甚至不是首个公开利用:FuzzingLabs 早在 4 月就发布了独立复现。
这个漏洞归根结底只是一个单独的多余字符,nf_tables 中一个反向检查,upstream 的修复只用一行就移除了它。Ubuntu 将该漏洞评级为 CVSS 7.8(高危)。如果你发行版的 kernel package 还没有包含修复,请更新并重启。
可触达的配置很常见:nf_tables 加上 unprivileged user namespaces。后者是 Linux 的一项特性,允许普通账户在私有沙箱内像 root 一样运行,并接触到原本无法访问的 kernel 代码。
这两项在大多数桌面和许多服务器构建中都默认启用。它本身没有远程利用路径。这是一个攻击者在已经获得立足点后会利用的 bug,可把一个低权限 shell、受控容器或 service account 转成主机上的 root。
Exodus 研究员 Oliver Sieber 在 2025 年初发现了这个 bug,并将其串联为完整的本地 root。该利用会触发 use-after-free,绕过 kernel 内建的内存保护,然后夺取执行控制权,给自己 root 权限并逃出容器的 namespace。
他在 Debian Bookworm、Debian Trixie、Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS 上演示了该利用。
FuzzingLabs 在 Pwn2Own Berlin 2026 之前,于 RHEL 10 上复现了该 bug,并通过不同路径构建了自己的 root 利用。时间线很紧:修复在 2 月 5 日发布,FuzzingLabs 于 4 月 16 日公布,Exodus 的详细文章则在 6 月 8 日上线。
这项技术现在已在 Debian、Ubuntu 和 Red Hat 之间被记录下来。由于该 bug 存在于 mainline,任何发布了同时启用这两项功能的 vulnerable kernel 的发行版都可能受影响,除非发行版的 hardening 或 namespace 限制阻断了这条路径。
CVE-2026-23111 出现在近期一波 Linux 本地提权披露的中间。过去几周还出现了 Copy Fail、Dirty Frag 链、其 Fragnesia 变种、DirtyDecrypt,以及一个已有九年历史的 ptrace 漏洞,可读取 /etc/shadow 并以 root 身份运行命令。
这些漏洞细节不同,但都具有同一个让防御者担忧的部分:在普通安装上,未特权立足点不断变成 root。
请更新 kernel 并重启。该 bug 仅限本地,且需要 unprivileged user namespaces,因此应首先关注那些允许不受信任用户或 workload 创建这类 namespace 的系统。
Ubuntu 已为 22.04、24.04 和 25.10 提供修复;Debian 已修复 Bookworm 和 Trixie,并为 Bullseye LTS 提供了 6.1 backport。Red Hat、SUSE 和 Amazon Linux 也在跟踪该漏洞;请查看你发行版的 advisory,找到与你系统匹配的 kernel package,因为具体修复版本会有所不同。upstream 的修复只是一行代码。
更大的背景是,在最近一篇关于 LPE 激增的评估中,Synacktiv 将这一节奏与 AI 辅助研究和 patch-diffing 联系起来,这些方法让可用 exploit 在修复扩散前就已出现,并认为常规 hardening 仍能为防御者争取时间。
这些 bug 大多依赖可选的 kernel 功能或宽松默认设置,因此收紧未特权用户可接触的内容——在这里就是 user namespaces——可以在补丁到位前暂时挡住 exploit。
目前没有公开报告称该漏洞已在野外被利用,也没有任何 threat actor 与之关联。补丁自 2 月起就已发布,而 exploit code 自 4 月起已公开。