2026-05-20 06:21:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： LinuxKernel存在高危权限提升漏洞，攻击者利用ptracemayaccess()在进程退出时跳过安全检查的竞争条件，可窃取文件描述符获取敏感信息。影响多个主流Linux发行版，官方已于5月14日提交修复commit，建议升级内核或临时设置ptrace_scope=3限制功能。深信服计划于5月30日提供检测方案。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,解决方案,数据安全

cover_image

【漏洞通告】Linux Kernel ptrace 权限提升漏洞

深瞳漏洞实验室深瞳漏洞实验室

深信服千里目安全技术中心

2026年5月18日 18:32 北京

在小说阅读器读本章

去阅读

漏洞名称：

Linux Kernel ptrace 权限提升漏洞

组件名称：

Linux Kernel

影响范围：

commit version < 31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a（截至 2026 年 5 月18日全部稳定版本均受影响）

目前确定受影响的版本：

Raspberry Pi OS Bookworm 6.12.75

Debian 13

Ubuntu 22.04 / 24.04 / 26.04

Arch

CentOS 9

漏洞类型：

权限提升

利用条件：

1、用户认证：需要用户认证

2、前置条件：默认配置

3、触发方式：本地

综合评价：

<综合评定利用难度>：中等，需要本地低权限执行条件。

<综合评定威胁等级>：高危，可读取密码等高敏感文件。

官方解决方案：

已发布

漏洞分析

组件介绍

Linux内核（Linux Kernel）是一个开源的操作系统内核，它是Linux操作系统的核心组件，负责管理计算机的硬件资源，并提供了许多系统服务，如进程管理、内存管理、文件系统管理和设备驱动程序等。

漏洞简介

2026年5月15日，深瞳漏洞实验室监测到一则Linux Kernel组件存在权限提升漏洞的信息，漏洞威胁等级：高危。

该漏洞核心在于ptrace_may_access()在目标进程内存映射为空（task->mm == NULL）时会跳过关键的 dumpable 安全检查；进程退出时先调用exit_mm()清空内存映射、再调用exit_files()关闭文件描述符，这一顺序形成高危竞争窗口，同 UID 攻击者可通过pidfd_getfd()窃取进程退出瞬间仍持有的打开文件描述符。

深瞳漏洞实验室已成功复现Linux Kernel ptrace 权限提升漏洞(SF_2026_16430)

影响范围

目前受影响的Linux Kernel版本：

commit version < 31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a（截至 2026 年 5 月 14 日全部稳定版本均受影响）

目前确定受影响的版本：

Raspberry Pi OS Bookworm 6.12.75

Debian 13

Ubuntu 22.04 / 24.04 / 26.04

Arch

CentOS 9

解决方案

官方修复建议

Linus Torvalds 已于 2026 年 5 月 14 日提交修复 commit 31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a。用户应尽快将内核升级至已包含此补丁的版本。下载地址： https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a

临时修复建议

执行以下代码将kernel.yama.ptrace_scope设置为3能彻底阻止普通用户使用ptrace和pidfd_getfd相关功能

echo “kernel.yama.ptrace_scope = 3” | sudo tee /etc/sysctl.d/99-ptrace-restrict.conf

sudo sysctl -p /etc/sysctl.d/99-ptrace-restrict.conf

深信服解决方案

漏洞主动检测

支持对Linux Kernel ptrace 权限提升漏洞(SF_2026_16430)的主动检测，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服云镜YJ】预计2026年05月30日发布检测方案，规则ID:SF-2026-00914。

【深信服可拓展检测响应平台XDR】预计2026年05月30日发布检测方案（需要具备云镜组件能力），规则ID:SF-2026-00914。

参考链接

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a

时间轴

2026/05/15

深瞳漏洞实验室监测到Linux Kernel ptrace 权限提升漏洞信息。

2026/05/18

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深信服千里目安全技术中心深瞳漏洞实验室深瞳漏洞实验室《【漏洞通告】Linux Kernel ptrace 权限提升漏洞》