Giriş
Linux çekirdek yapısındaki bir zafiyet, yetkisiz kullanıcıların etkilenen sistemlerde root erişimi elde etmesine olanak tanımaktadır. Bu durum, özellikle sunucu ve bulut ortamlarında ciddi güvenlik tehditleri yaratabilir.
Saldırı Nasıl Çalışıyor?
CVE-2026-46331 koduyla bilinen bu zafiyet, paket düzenleme işlemi sırasında (act_pedit) hafıza dışına yazma hatası olarak ortaya çıkmaktadır. “pedit COW” olarak adlandırılan bu zafiyet, paylaşılan sayfa önbellek hafızasını bozarak, yetkisiz kullanıcıların önemli dosyaları değiştirmesine yol açabilir.
Linux’un tc trafik kontrol aracı, paket başlıklarını düzenlemek için pedit adlı bir eylem kullanır. Bu işlem, veriyi düzenlemeden önce özel bir kopya oluşturması gereken tcf_pedit_act() fonksiyonu üzerinden yapılmaktadır. Ancak, bazen düzenleme anahtarlarının yerleri yalnızca program çalıştırıldığında belirlenir; bu durumda yazma işlemi, özel kopyanın dışında gerçekleşir ve paylaşılan bir sayfa önbelleği etkilenir.
Etkilenen Sistemler
Bu zafiyetten etkilenen sistemler arasında RHEL 10 ve Debian 13 (trixie) bulunmaktadır. Debian 11 ve 12 hala açık bir zafiyet taşımaktadır. Ubuntu sürümleri arasında ise 18.04’ten 26.04’e kadar olan tüm versiyonlar etkilenmektedir.
- Debian: Trixie için yamanmıştır; ancak 11 ve 12 sürümleri halen risk altındadır.
- Ubuntu: 18.04’ten 26.04’e kadar olan sürümler tasfiye edilmiştir.
- Red Hat: RHEL 8, 9 ve 10 sürümleri etkilenmektedir; RHEL 7 belirtilmemiştir.
Çözüm ve Korunma
Hızla yamanmış bir çekirdek kurmalısınız ve sistemi yeniden başlatmalısınız. Özellikle “yerel kullanıcı” kavramının güvenilir olmadığı çoklu kiracı barındırma, CI/CD çalıştırıcıları, Kubernetes düğümleri gibi ortamları önceliklendirin.
Eğer hemen yama uygulayamıyorsanız, iki alternatif önlem alabilirsiniz:
- tc pedit kurallarına ihtiyacı olmayan sistemlerde, modülün kullanımda olup olmadığını kontrol edin (lsmod | grep act_pedit) ve yüklenmesini engelleyin:
echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.confYazma işlemlerinin ön bellekteki verileri hedef aldığından, dosya bütünlük kontrolleri saldırıyı fark edemeyebilir. Bellek önbelleğini temizlemek için (echo 3 > /proc/sys/vm/drop_caches) kullanılarak zehirlenmiş kopyalar silinebilir; ancak bu, zaten açık olan root shell’i etkilemez. Sistemi tehlikede olarak değerlendirin.
