Linux çekirdeğinde keşfedilen CVE-2026-46331 kodlu güvenlik açığı, yerel ve yetkisiz kullanıcıların sistem üzerinde root erişimi elde etmesine olanak tanıyor. “pedit COW” olarak adlandırılan bu kritik açık, Linux ağ trafiği kontrol mekanizmasındaki act_pedit bileşeninde yer alan bir bellek bozulması sorunundan kaynaklanıyor.
Söz konusu açık, çekirdeğin paket başlıklarını yeniden yazarken kullandığı copy-on-write mekanizmasındaki bir hatayı tetikliyor. Bu durum, saldırganların diskteki dosyalara dokunmadan bellekteki önbellek kopyalarını zehirleyerek root yetkisiyle işlem yapmasına imkan tanıyor.
Açığın teknik detayları ve risk altındaki sistemler
CVE-2026-46331, act_pedit bileşenindeki sınır dışı yazma hatası nedeniyle ortaya çıkıyor ve tcf_pedit_act() fonksiyonunun çalışma anındaki offset değerlerini hatalı işlemesiyle tetikleniyor. Saldırganlar, /bin/su gibi setuid root dosyalarının bellek kopyalarına küçük bir payload enjekte ederek sistem bütünlüğü kontrollerini atlatabiliyor.
Bu açığın başarılı bir şekilde kullanılabilmesi için sistemde act_pedit modülünün yüklü olması ve unprivileged user namespaces özelliğinin aktif olması gerekiyor. RHEL 10 ve Debian 13 üzerinde yapılan testler, yetkisiz kullanıcıların bu koşullar altında root seviyesine çıkabildiğini kanıtlıyor.
Ubuntu 26.04 gibi güncel dağıtımlar, AppArmor kısıtlamaları sayesinde bu saldırı yolunu varsayılan olarak kapatsa da çekirdek seviyesindeki temel zafiyet varlığını koruyor. Red Hat, Debian ve Ubuntu’nun birçok farklı sürümü bu güvenlik açığından doğrudan etkileniyor ve “High” veya “Important” seviyesinde risk taşıyor.
Güvenlik önlemleri ve yama süreci
Sistem yöneticilerinin bu açığı kapatmak için ilgili dağıtımların sunduğu yamalı çekirdek sürümlerine geçiş yapması ve sistemlerini yeniden başlatması gerekiyor. Özellikle çok kullanıcılı sunucular, Kubernetes node’ları ve CI/CD sistemleri bu zafiyet için öncelikli risk grupları arasında yer alıyor.
Yama uygulanamayan durumlarda, act_pedit modülünün yüklenmesini engellemek veya unprivileged user namespaces özelliğini devre dışı bırakmak geçici bir çözüm olarak değerlendirilebiliyor. Ancak bu tür kısıtlamaların rootless container yapıları veya sandbox ortamları üzerinde yan etkilere yol açabileceği unutulmamalıdır.
Saldırı doğrudan page cache üzerinde gerçekleştiği için klasik dosya bütünlüğü kontrolleri çoğu zaman yetersiz kalıyor. Bir sistemde root shell açılmışsa, o sistemin tamamen ele geçirildiğini varsaymak ve gerekli güvenlik prosedürlerini uygulamak büyük önem taşıyor.
