OC

Knowledge OS
Linux 藏了15年的 GhostLock 漏洞:普通程序就可能拿到 root
科技 · 2026-07-11 · 网络安全 · 阅读 1

Linux 藏了15年的 GhostLock 漏洞:普通程序就可能拿到 root

作者:陈墨|OC 安全编辑

作者:陈墨|OC 安全编辑

据安全团队 NebuSec 的技术报告,GhostLock(CVE-2026-43499)从 Linux 2.6.39 开始存在于内核的实时互斥锁代码中。研究人员把它做成了稳定率约97%的本地提权与容器逃逸利用,并因此获得 Google kernelCTF 92,337 美元奖励。

一句话结论:这不是“访问一个网页就中招”的远程漏洞,但只要攻击者已经能在未修补的 Linux 主机或容器里运行普通程序,就可能借它突破权限边界拿到 root。

漏洞出在一个非常小、也非常典型的假设错误里。remove_waiter() 原本负责清理“当前线程”自己的等待对象,因此代码清除的是 current->pi_blocked_on。后来它又被复用到代理锁路径:一个线程代替另一个正在睡眠的线程清理等待对象。此时 current 已经不是对象真正的主人,函数却仍清除了错误线程的指针。

结果是,真正的等待线程仍保留一个指向自己内核栈的指针。它返回用户态后,那段栈空间已经失效;攻击者再让另一个系统调用把可控数据放回相同位置,就能把旧对象伪造成新的 rt_mutex_waiter。这就是所谓 stack use-after-free:对象的“尸体”还被内核当成活对象使用。

GhostLock 从错误清理到权限提升的过程

研究人员之后利用红黑树删除操作获得一次受限制的内核指针写入,再改写 IPv6 UDP 协议处理表,把控制流引向准备好的内存,最后修改 core_pattern 相关权限,以用户态程序完成提权。完整利用链很复杂,但触发最初漏洞并不需要特殊 capability,也不依赖 user namespace;CONFIG_FUTEX_PI 是主要条件,而这一配置广泛存在。

所有 Linux 都危险吗

“影响所有发行版”容易让人误解。准确说法是:漏洞进入上游内核已有15年,主要发行版曾经使用受影响代码;具体机器是否仍可利用,要看内核版本、发行版回补补丁、架构和缓解配置。NVD 列出的修复版本包括 6.1.175、6.6.140、6.12.86、6.18.27、7.0.4 与 7.1,发行版也可能在不改变主版本号的情况下回补修复。

因此,管理员不该只看 uname -r 后猜测。应查询发行版的 CVE 页面与当前软件包变更记录。Ubuntu 已经给出各版本状态;其他发行版也应以自己的安全公告为准。

关键事实

  • 漏洞编号为 CVE-2026-43499,根因位于 kernel/locking/rtmutex.c
  • 它需要攻击者先获得本地代码执行,不是直接的网络远程入侵入口。
  • 研究利用实现了本地提权和容器逃逸,但稳定率来自特定 kernelCTF 环境。
  • 修复把清理对象从 current 改为真正的 waiter->task

OC 判断

GhostLock 最值得开发者记住的不是利用链,而是代码复用的代价:一个辅助函数内部偷偷假设“调用者就是对象所有者”,换到代理执行路径后,锁依然能通过,生命周期却已经错了。内核与基础设施代码里,这类隐含所有权比显眼的越界访问更难被发现。

为什么重要

  • 开发者:容器不是独立内核,本地内核漏洞可以把容器权限边界直接打穿。
  • 企业:应按发行版公告更新宿主机,而不是只更新容器镜像。
  • 用户:个人 Linux 设备也应及时安装内核安全更新并重启进入新内核。

参考来源

相关阅读

基于标题、摘要和正文内容自动匹配。

更多科技

评论

围绕这篇文章补充信息、提出问题或分享观察。

0
暂无评论。

发表评论