Hvad Bad Epoll gør, og hvem er udsat

Bad Epoll er et use-after-free-ræs i epoll, Linux' standardfacilitet, der lader et program overvåge mange filer og forbindelser på én gang. Når to eventpoll-lister overvåger hinanden og lukkes i samme øjeblik, frigiver den ene et internt objekt, mens den anden stadig skriver til det, og den korte kollision lader en ikke-privilegeret proces ødelægge kernehukommelse og stige til root. Den offentlige exploit læser kernehukommelse, kaprer et indirekte kald og bygger en returorienteret kæde til en root-shell.

Eksponeringen er bred. Ethvert Linux-system på en kerne baseret på version 6.4 eller nyere er ramt, indtil det patches, hvilket dækker stationære maskiner, servere og Android-telefoner som Pixel 10 på kerne 6.6. Kerner på den ældre 6.1-linje er ikke ramt, fordi fejlen blev indført i en ændring fra 2023, der landede i 6.4. Der er endnu ikke meldt om udnyttelse i naturen, men med fungerende kode på GitHub er vinduet mellem offentliggørelse og misbrug kort, og epoll bruges overalt, så det kan ikke bare slås fra.

Fejlen som en AI-revision ikke fangede

Den skarpere lektie ligger i, hvordan fejlen blev fundet. Både Bad Epoll og dens tvilling, CVE-2026-43074, går tilbage til den samme enkelte ændring fra 2023 i epoll-koden. En automatiseret koderevision fangede den første af parret tidligt i 2026, og dens rettelse landede. Den fangede ikke Bad Epoll. Den blev fundet på den gamle måde, af et menneske: Jaeyoung Chung fra Seoul National University indberettede den til Googles kernelCTF som en zero-day-indsendelse den 6. juli 2026, med en exploit pålidelig nok til at blive beskrevet som næsten sikker.

Læs det omhyggeligt, før du konkluderer, at AI har lukket jagten på kernefejl. Maskinel gennemgang er virkelig nyttig og fjernede en levende root-fejl fra træet. Men en enkelt risikabel commit frembragte to udnyttelige fejl, den automatiske gennemgang tog den ene og efterlod den anden, og den efterladte var den, der giver root. AI-gennemgang hæver grundlinjen; den gør ikke patchning til et valgfrit trin, og den betyder ikke, at en commit, den har velsignet, er ren.

Hvad der skal patches i denne uge

Rettelsen har været i mainline-kernen siden 24. april som upstream-commit a6dc643c6931, men det er ikke det samme som rettelsen, der når dine maskiner. Mange distributioner har endnu ikke bagudporteret den, så den reelle risiko lever i hullet mellem rettet-i-mainline og patchet-på-flåden. Anvend din distributions nyeste kerneopdatering, så snart den kommer, og på Pixel 10 og andre enheder på kerne 6.6 Googles sikkerhedsopdatering, når den er tilgængelig.

Prioritér efter, hvem der kan logge ind. Faren ved en lokal-til-root-fejl er størst, hvor ikke-betroede eller mange brugere deler en vært: delt hosting, continuous-integration-kørere, multi-tenant-containere og udviklermaskiner, hvor en enkelt kompromitteret konto ikke bør blive hele maskinen. Tjek din kerneversion, betragt alt på 6.4 eller nyere som udsat, indtil det er patchet, og brug dette som anledning til at gennemgå andre rettelser fra den samme epoll-ændring fra 2023.