Wat Bad Epoll doet en wie is blootgesteld

Bad Epoll is een use-after-free-race in epoll, de standaardvoorziening van Linux waarmee een programma veel bestanden en verbindingen tegelijk bewaakt. Wanneer twee eventpoll-lijsten elkaar bewaken en op hetzelfde moment worden gesloten, geeft de een een intern object vrij terwijl de ander er nog in schrijft, en die korte botsing laat een proces zonder rechten kernelgeheugen beschadigen en naar root klimmen. De openbare exploit lekt kernelgeheugen, kaapt een indirecte aanroep en bouwt een op terugkeer gerichte keten naar een root-shell.

De blootstelling is breed. Elk Linux-systeem op een kernel gebaseerd op versie 6.4 of nieuwer is getroffen tot het gepatcht is, wat desktops, servers en Android-toestellen zoals de Pixel 10 op kernel 6.6 omvat. Kernels op de oudere 6.1-lijn zijn niet getroffen, want de fout kwam met een wijziging van 2023 die in 6.4 landde. Er is nog geen misbruik in het wild gemeld, maar met werkende code op GitHub is het venster tussen publicatie en misbruik kort, en epoll zit overal, dus je kunt het niet zomaar uitzetten.

De fout die een AI-audit niet ving

De scherpere les zit in hoe de fout werd gevonden. Zowel Bad Epoll als zijn tweeling, CVE-2026-43074, gaan terug op dezelfde ene wijziging van 2023 in de epoll-code. Een geautomatiseerde code-audit ving de eerste van het paar begin 2026, en de fix daarvan kwam. Bad Epoll ving hij niet. Die werd op de oude manier gevonden, door een mens: Jaeyoung Chung van de Seoul National University meldde hem op 6 juli 2026 als zero-day-inzending bij Googles kernelCTF, met een exploit betrouwbaar genoeg om als vrijwel zeker te worden omschreven.

Lees dat zorgvuldig voordat u concludeert dat AI de jacht op kernelfouten heeft gesloten. Machinale review is echt nuttig en haalde een levende root-fout uit de boom. Maar een enkele riskante commit leverde twee misbruikbare fouten op, de geautomatiseerde ronde nam er een en liet de andere, en de overgebleven fout was die welke root geeft. AI-review legt de basislijn hoger; het maakt patchen geen optionele stap, en het betekent niet dat een commit die het heeft gezegend schoon is.

Wat deze week te patchen

De fix zit sinds 24 april in de mainline-kernel, als upstream-commit a6dc643c6931, maar dat is niet hetzelfde als de fix die uw machines bereikt. Veel distributies hebben hem nog niet teruggeport, dus het echte risico leeft in het gat tussen in-mainline-gefixt en op-de-vloot-gepatcht. Voer de nieuwste kernelupdate van uw distributie uit zodra die er is, en op de Pixel 10 en andere toestellen op kernel 6.6 de beveiligingsupdate van Google zodra beschikbaar.

Geef voorrang op basis van wie kan inloggen. Het gevaar van een lokaal-naar-root-fout is het grootst waar niet-vertrouwde of veel gebruikers een host delen: gedeelde hosting, continu-integratierunners, multi-tenant-containers en ontwikkelaarsmachines waar een enkel gecompromitteerd account niet de hele machine mag worden. Controleer uw kernelversie, behandel alles op 6.4 of later als blootgesteld tot het gepatcht is, en gebruik dit als aanzet om andere fixes uit dezelfde epoll-wijziging van 2023 te bekijken.