<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>act_pedit Sicherheitslücke-Archiv - Ivan Ivanov</title>
	<atom:link href="https://ivanivanov.de/blog/tag/act_pedit-sicherheitsluecke/feed/" rel="self" type="application/rss+xml" />
	<link>https://ivanivanov.de/blog/tag/act_pedit-sicherheitsluecke/</link>
	<description>Have you tried turning it off and on again?</description>
	<lastBuildDate>Wed, 01 Jul 2026 19:58:31 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	
<site xmlns="com-wordpress:feed-additions:1">121858272</site>	<item>
		<title>CVE-2026-46331: Linux-Kernel-Lücke pedit COW gibt Root-Rechte</title>
		<link>https://ivanivanov.de/blog/cve-2026-46331-linux-kernel-pedit-cow-root-exploit/</link>
		
		<dc:creator><![CDATA[Ivan]]></dc:creator>
		<pubDate>Wed, 01 Jul 2026 19:58:31 +0000</pubDate>
				<category><![CDATA[Linux]]></category>
		<category><![CDATA[Security]]></category>
		<category><![CDATA[act_pedit Sicherheitslücke]]></category>
		<category><![CDATA[CVE-2026-46331 Linux Root]]></category>
		<category><![CDATA[IT Security Linux Patch]]></category>
		<category><![CDATA[Kernel Schwachstelle 2026]]></category>
		<category><![CDATA[Kernel Update RHEL Ubuntu]]></category>
		<category><![CDATA[Linux Local Privilege Escalation]]></category>
		<category><![CDATA[Linux Page Cache Corruption]]></category>
		<category><![CDATA[pedit COW Exploit]]></category>
		<category><![CDATA[Server Rechteausweitung Root]]></category>
		<category><![CDATA[Traffic Control tc Subsystem]]></category>
		<guid isPermaLink="false">https://ivanivanov.de/?p=5569</guid>

					<description><![CDATA[<p>CVE-2026-46331: „pedit COW“ erlaubt unprivilegierten lokalen Angreifern Root-Zugriff unter Linux Kaum ist die Aufregung um vergangene Kernel-Lücken verflogen, brennt es im Linux-Ökosystem an einer neuen Stelle. Unter der Kennung CVE-2026-46331 wurde eine Schwachstelle im Traffic-Control-Subsystem (net/sched) des Linux-Kernels klassifiziert. Die Lücke, die in Fachkreisen den Namen „pedit COW“ erhalten hat, ermöglicht eine lokale Rechteausweitung (Local [&#8230;]</p>
<p>Der Beitrag <a href="https://ivanivanov.de/blog/cve-2026-46331-linux-kernel-pedit-cow-root-exploit/">CVE-2026-46331: Linux-Kernel-Lücke pedit COW gibt Root-Rechte</a> erschien zuerst auf <a href="https://ivanivanov.de">Ivan Ivanov</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h1 data-path-to-node="15">CVE-2026-46331: „pedit COW“ erlaubt unprivilegierten lokalen Angreifern Root-Zugriff unter Linux</h1>
<p data-path-to-node="16">Kaum ist die Aufregung um vergangene Kernel-Lücken verflogen, brennt es im Linux-Ökosystem an einer neuen Stelle. Unter der Kennung <b data-path-to-node="16" data-index-in-node="132">CVE-2026-46331</b> wurde eine Schwachstelle im Traffic-Control-Subsystem (<code data-path-to-node="16" data-index-in-node="202">net/sched</code>) des Linux-Kernels klassifiziert. Die Lücke, die in Fachkreisen den Namen <b data-path-to-node="16" data-index-in-node="286">„pedit COW“</b> erhalten hat, ermöglicht eine lokale Rechteausweitung (Local Privilege Escalation – LPE) bis hin zu uneingeschränkten Root-Rechten. Ein öffentlicher Exploit beweist, wie gefährlich die Situation für Shared-Hosting-Umgebungen und Enterprise-Server ist.</p>
<h2 data-path-to-node="17">Funktionsweise: Cache-Poisoning statt Festplatten-Hack</h2>
<p data-path-to-node="18">Der Fehler liegt in der Funktion <code data-path-to-node="18" data-index-in-node="33">tcf_pedit_act()</code>, welche für das Editieren von Paket-Headern im laufenden Netzwerkverkehr zuständig ist. Das System berechnet den Copy-on-Write-Bereich (COW) vor der Verarbeitung der Editierungsschlüssel. Da hierbei jedoch die dynamischen Header-Offsets nicht korrekt berücksichtigt werden, kommt es zu einem sogenannten <i data-path-to-node="18" data-index-in-node="353">Partial-COW</i>-Fehler.</p>
<p data-path-to-node="19">Das Resultat ist fatal: Ein Angreifer kann über manipulierte Netzwerkregeln einen Out-of-Bounds-Schreibzugriff provozieren. Dieser Schreibbefehl landet im freigegebenen Page-Cache des Kernels. Der Exploit zielt dabei gezielt auf im Arbeitsspeicher gecachte System-Binaries (wie <code data-path-to-node="19" data-index-in-node="278">/bin/su</code>) ab, überschreibt diese im RAM mit einem Payload und führt sie aus. Da die eigentliche Datei auf der Festplatte unverändert bleibt, versagen gängige Sicherheitsmonitore, während der Angreifer bereits eine Root-Shell öffnet.</p>
<h2 data-path-to-node="20">Betroffene Systeme und Bedingungen</h2>
<p data-path-to-node="21">Red Hat listet die Versionen RHEL 8, 9 und 10 als verwundbar. Auch Ubuntu (von 18.04 bis 26.04) sowie die aktuellen Debian-Zweige (Bullseye, Bookworm, Trixie) tragen den fehlerhaften Code in ihren Standard-Kerneln.</p>
<p data-path-to-node="22">Damit ein unprivilegierter lokaler Nutzer den Exploit erfolgreich ausführen kann, müssen zwei Bedingungen erfüllt sein:</p>
<ol start="1" data-path-to-node="23">
<li>
<p data-path-to-node="23,0,0">Das Kernel-Modul <code data-path-to-node="23,0,0" data-index-in-node="17">act_pedit</code> ist aktiv oder kann automatisch nachgeladen werden.</p>
</li>
<li>
<p data-path-to-node="23,1,0">Unprivilegierte Benutzer-Namensräume (<code data-path-to-node="23,1,0" data-index-in-node="38">unprivileged user namespaces</code>) sind im System erlaubt. Diese gewähren dem Angreifer die nötigen virtuellen Netzwerk-Rechte (<code data-path-to-node="23,1,0" data-index-in-node="161">CAP_NET_ADMIN</code>), um die <code data-path-to-node="23,1,0" data-index-in-node="184">tc</code>-Regeln überhaupt triggern zu können.</p>
</li>
</ol>
<h2 data-path-to-node="24">Schnelle Gegenmaßnahmen für Administratoren</h2>
<p data-path-to-node="25">Die sicherste Methode ist das unverzügliche Einspielen der bereitstehenden Kernel-Updates der jeweiligen Distributionen und ein anschließender Reboot. Sollte ein Wartungsfenster kurzfristig nicht möglich sein, helfen folgende temporäre Sicherheitsvorkehrungen:</p>
<ul data-path-to-node="26">
<li>
<p data-path-to-node="26,0,0"><b data-path-to-node="26,0,0" data-index-in-node="0">Einschränkung von User Namespaces:</b> Das Deaktivieren unpriviligierter Namensräume entzieht dem Angreifer die administrative Netzwerk-Basis im User-Space. Bei sysctl-basierten Systemen hilft:</p>
<div class="code-block ng-tns-c1877192794-39 ng-animate-disabled ng-trigger ng-trigger-codeBlockRevealAnimation" data-hveid="0" data-ved="0CAAQhtANahgKEwiz9fvPj6mVAxUAAAAAHQAAAAAQ-QE">
<div class="formatted-code-block-internal-container ng-tns-c1877192794-39">
<div class="animated-opacity ng-tns-c1877192794-39">
<div class="code-block-decoration header-formatted gds-emphasized-body-m ng-tns-c1877192794-39 ng-star-inserted"><span class="ng-tns-c1877192794-39">Bash</span></p>
<div class="buttons ng-tns-c1877192794-39 ng-star-inserted"></div>
</div>
<pre class="ng-tns-c1877192794-39"><code class="code-container formatted ng-tns-c1877192794-39" role="text" data-test-id="code-content">sysctl -w kernel.unprivileged_userns_clone=0
</code></pre>
</div>
</div>
</div>
</li>
<li>
<p data-path-to-node="26,1,0"><b data-path-to-node="26,1,0" data-index-in-node="0">Modul-Blacklisting:</b> Verhindern Sie das automatische Laden des betroffenen Netzwerkmoduls über die Modprobe-Konfiguration (<code data-path-to-node="26,1,0" data-index-in-node="122">blacklist act_pedit</code>).</p>
</li>
</ul>
<p data-path-to-node="27">Aufgrund der Verfügbarkeit eines schlüsselfertigen Angriffsskripts wird die Dringlichkeit von IT-Sicherheitsbehörden als hoch eingestuft.</p>
<p>Der Beitrag <a href="https://ivanivanov.de/blog/cve-2026-46331-linux-kernel-pedit-cow-root-exploit/">CVE-2026-46331: Linux-Kernel-Lücke pedit COW gibt Root-Rechte</a> erschien zuerst auf <a href="https://ivanivanov.de">Ivan Ivanov</a>.</p>
]]></content:encoded>
					
		
		
		<post-id xmlns="com-wordpress:feed-additions:1">5569</post-id>	</item>
	</channel>
</rss>
