Linux çekirdeğinde "pedit COW" olarak bilinen CVE-2026-46331 kodlu kritik bir güvenlik açığı tespit edildi. Bu zafiyet, yerel ve yetkisiz kullanıcıların sistem üzerinde root (kök) yetkisi elde etmesine imkan tanıyor.

Açık, Linux ağ trafiği kontrol mekanizmasındaki act_pedit bileşeninde bir bellek bozulması sorunundan kaynaklanıyor ve çekirdeğin paket başlıklarını yeniden yazarken kullandığı copy-on-write (COW) mekanizmasındaki bir hatayı tetikliyor. Bu durum, saldırganların diskteki dosyalara dokunmadan bellekteki önbellek kopyalarını manipüle ederek ayrıcalıklı işlemler gerçekleştirmesine olanak sağlıyor.

Açığın Teknik Yapısı ve Etkilenen Sürümler

CVE-2026-46331, act_pedit bileşenindeki sınır dışı yazma hatasından kaynaklanmaktadır. Zafiyet, tcf_pedit_act() fonksiyonunun çalışma anındaki offset (kaydırma) değerlerini hatalı işlemesiyle tetiklenir. Saldırganlar, bu hatayı kullanarak /bin/su gibi setuid root dosyalarının bellekteki kopyalarına küçük bir zararlı yük (payload) enjekte edebilir ve sistem bütünlüğü kontrollerini atlatabilir.

Bu açığın başarıyla kullanılabilmesi için sistemde act_pedit modülünün yüklü olması ve ayrıcalıksız kullanıcı ad alanları (unprivileged user namespaces) özelliğinin aktif durumda bulunması gerekmektedir. Yapılan testler, RHEL 10 ve Debian 13 dağıtımları üzerinde yetkisiz kullanıcıların bu koşullar altında root seviyesine çıkabildiğini doğrulamıştır.

Ubuntu 26.04 gibi bazı güncel Linux dağıtımları, AppArmor kısıtlamaları sayesinde bu saldırı yolunu varsayılan olarak engelleme eğilimindedir. Ancak çekirdek seviyesindeki temel zafiyet varlığını korumaktadır. Red Hat, Debian ve Ubuntu'nun birçok farklı sürümü bu güvenlik açığından doğrudan etkilenmekte ve "High" veya "Important" olarak değerlendirilen risk seviyesine sahiptir.

Güvenlik Önlemleri ve Geçici Çözümler

Sistem yöneticilerinin bu kritik açığı kapatmak için ilgili dağıtımlar tarafından sunulan yamalı çekirdek sürümlerine geçiş yapmaları ve sistemlerini yeniden başlatmaları önem taşımaktadır. Özellikle çok kullanıcılı sunucular, Kubernetes node'ları ve sürekli entegrasyon/sürekli teslimat (CI/CD) sistemleri bu zafiyet için öncelikli risk grupları arasında yer almaktadır.

Yama uygulanamayan durumlarda, geçici bir çözüm olarak act_pedit modülünün yüklenmesinin engellenmesi veya ayrıcalıksız kullanıcı ad alanları özelliğinin devre dışı bırakılması değerlendirilebilir. Ancak bu tür kısıtlamaların, köksüz konteyner (rootless container) yapıları veya sandbox ortamları üzerinde istenmeyen yan etkilere yol açabileceği dikkate alınmalıdır.

Saldırı, doğrudan sayfa önbelleği (page cache) üzerinde gerçekleştiği için klasik dosya bütünlüğü kontrolleri çoğu zaman yetersiz kalmaktadır. Bir sistemde root yetkisiyle bir kabuk (shell) açılmışsa, o sistemin tamamen ele geçirildiği varsayılmalı ve gerekli güvenlik prosedürleri titizlikle uygulanmalıdır.