Vad Bad Epoll gör och vem är exponerad
Bad Epoll är en use-after-free-kapplöpning i epoll, Linux standardfunktion som låter ett program bevaka många filer och anslutningar samtidigt. När två eventpoll-listor bevakar varandra och stängs i samma ögonblick frigör den ena ett internt objekt medan den andra fortfarande skriver till det, och den korta kollisionen låter en process utan behörighet skada kärnminne och klättra till root. Den offentliga exploiten läcker kärnminne, kapar ett indirekt anrop och bygger en returorienterad kedja till ett root-skal.
Exponeringen är bred. Varje Linux-system på en kärna baserad på version 6.4 eller nyare är drabbat tills det patchas, vilket omfattar stationära datorer, servrar och Android-telefoner som Pixel 10 på kärna 6.6. Kärnor på den äldre 6.1-linjen är inte drabbade, eftersom felet infördes i en ändring från 2023 som landade i 6.4. Ingen exploatering i det vilda har rapporterats än, men med fungerande kod på GitHub är fönstret mellan publicering och missbruk kort, och epoll används överallt, så det går inte att bara stänga av.
Felet som en AI-granskning inte fångade
Den skarpare lärdomen ligger i hur felet hittades. Både Bad Epoll och dess tvilling, CVE-2026-43074, går tillbaka till samma enda ändring från 2023 i epoll-koden. En automatiserad kodgranskning fångade den första av paret tidigt 2026, och dess rättning landade. Den fångade inte Bad Epoll. Den hittades på det gamla sättet, av en människa: Jaeyoung Chung från Seoul National University rapporterade den till Googles kernelCTF som en zero-day-inlämning den 6 juli 2026, med en exploit pålitlig nog att beskrivas som nästan säker.
Läs det noga innan du drar slutsatsen att AI har stängt jakten på kärnfel. Maskinell granskning är verkligen användbar och tog bort ett levande root-fel ur trädet. Men en enda riskabel commit gav upphov till två utnyttjbara fel, den automatiska genomgången tog det ena och lämnade det andra, och det som lämnades var det som ger root. AI-granskning höjer baslinjen; den gör inte patchning till ett valfritt steg, och den betyder inte att en commit den har välsignat är ren.
Vad som ska patchas denna vecka
Rättningen har funnits i mainline-kärnan sedan 24 april som upstream-commit a6dc643c6931, men det är inte samma sak som att rättningen når dina maskiner. Många distributioner har ännu inte bakåtporterat den, så den verkliga risken lever i gapet mellan rättat-i-mainline och patchat-på-flottan. Tillämpa din distributions senaste kärnuppdatering så snart den kommer, och på Pixel 10 och andra enheter på kärna 6.6 Googles säkerhetsuppdatering när den är tillgänglig.
Prioritera efter vem som kan logga in. Faran med ett lokalt-till-root-fel är störst där opålitliga eller många användare delar en värd: delad hosting, continuous integration-körare, containrar med flera hyresgäster och utvecklarmaskiner där ett enda komprometterat konto inte bör bli hela maskinen. Kontrollera din kärnversion, behandla allt på 6.4 eller senare som exponerat tills det är patchat, och använd detta som anledning att se över andra rättningar från samma epoll-ändring från 2023.
Läs vidare: Ett Linux-rootfel träffar nu servrar och Android | Den här skadekoden raderar först dina backuper



