Sicherheitsforscher sind auf eine neue, pedit COW genannte, Schwachstelle CVE-2026-46331 gestoßen, es erlaubt, Speicherinhalte zu missbrauchen, um normalen Nutzern Root-Rechte zu verschaffen.
Das Thema köchelt bereits seit einigen Tagen auf X, nachfolgender Tweet greift den Sachverhalt auf.
Die Schwachstelle pedit COW (CVE-2026-46331) wurde mit einem CVSS 3.1 Score von 7.8 als High eingestuft. Die Sicherheitslücke ermöglicht es einem unprivilegierten lokalen Benutzer, Root-Rechte zu erlangen, indem sie einen Fehler in der Aktion act_pedit des Traffic-Control (tc) ausnutzt. Dadurch wird der gemeinsame Page-Cache korrumpiert, anstatt eine COW-Kopie durchzuführen. Der Angreifer vergiftet im RAM ein setuid-Binary (/bin/su), ohne die Festplatte zu verändern. Die Integritätsprüfungen laufen ins Leere.
Die Schwachstelle wurde am 16. Juni 2026 bekannt, inzwischen ist ein öffentlicher PoC verfügbar. Betroffen sind RHEL 8-10, Debian 11-13 und aktuelle Ubuntu-Versionen. Es wurde aber ein Patch veröffentlicht. Zur Absicherung wird im Tweet die Deaktivierung unprivilegierter User-Namespaces oder des Moduls act_pedit empfohlen.
MVP: 2013 – 2016
beide CVE ( auch DirtyClone ) sind bereits ab Kernel 7.1 gefixt.
siehe Commits:
pedit: 899ee91156e5 net/sched: fix pedit partial COW leading to page cache corruption
und,
DirtyClone:
f84eca581739 net: skbuff: preserve shared-frag marker during coalescing
48f6a5356a33 net: skbuff: propagate shared-frag marker through frag-transfer helpers
e9096a5a170e xfrm: iptfs: preserve shared-frag marker in iptfs_consume_frags()
f4c50a4034e6 xfrm: esp: avoid in-place decrypt on shared skb frags
aa54b1d27fe0 rxrpc: Also unshare DATA/RESPONSE packets when paged frags are present