行业新闻与博客

Linux 内核进程跟踪 (ptrace) 路径中一个存在了九年的逻辑缺陷被发现，该缺陷可能允许非特权本地用户在 Debian 、 Fedora 和 Ubuntu 的默认安装中读取敏感文件，包括安全 shell 主机 (SSH) 私钥和系统密码哈希。

根据 Qualys 威胁研究部门 (TRU) 的最新分析，该漏洞（编号为 CVE-2026-46333）自 2016 年 11 月以来就存在于 Linux 主线版本中。上游补丁和发行版更新均已发布，并且可用的漏洞利用程序已公开流传。

这是继 Copy Fail 、 Dirty Frag 和 Fragnesia 之后，三周内披露的第四个 Linux 内核本地安全问题。

资格证书掉落之争

该漏洞存在于内核的 __ptrace_may_access () 函数中。 Qualys 发现，即使特权进程的可转储标志应该已经关闭了访问路径，但在该漏洞下，即使该进程正在丢弃其凭据，仍然可以通过 ptrace 操作访问到它。

通过将此窗口与 pidfd_getfd () 系统调用结合使用，攻击者可以在 setuid 二进制文件退出过程中捕获文件描述符，并继承其对底层文件的访问权限。 pidfd_getfd () 于 2020 年 1 月被添加到内核中，这扩大了早期漏洞的实际影响范围。

Qualys 开发的概念验证 (PoC) 针对的是 SSH-keysign，这是一个 setuid 二进制文件，会在身份验证签名期间短暂地打开 SSH 主机私钥。第二个变种针对的是 chage，它会窃取对 /etc/shadow 的打开句柄，从而暴露主机上每个用户的密码哈希值。

Qualys TRU 还开发了针对 pkexec 和 accounts-daemon 的有效漏洞利用程序，但在协调披露窗口期间，他们并未公开这四个漏洞利用程序。

Qualys TRU 的高级经理 Saeed Abbasi 表示，该技术“将任何本地 shell 变成通往 root 用户或敏感凭证材料的路径”。

影响、风险概况及缓解措施

Qualys 开发的四种漏洞利用程序影响范围广泛。其中，chage 和 SSH-keysign 漏洞会导致信息泄露，而 pkexec 和 accounts-daemon 漏洞则允许攻击者以 root 用户身份执行任意命令。

CVSS 将此漏洞评为 5.5 分，但 Qualys 认为，在实践中，非特权立足点和完全主机入侵之间的区别已经消失，因为仅泄露的文件就足以接管系统。

在共享主机和多租户 CI 运行器等环境中，非特权 shell 经常可供不受信任的各方使用，风险最为严重。

管理员应立即为其发行版应用厂商提供的内核更新。作为临时缓解措施，Ubuntu 和 Qualys 都建议通过 sysctl 将 kernel.yama.ptrace_scope 的值提高到 2，这将把 ptrace 附件的权限限制在 CAP_SYS_PTRACE 之后，从而阻止公开的漏洞利用路径，但代价是会破坏非特权用户的调试工作流程。