
Bad Epoll 可令 Linux process 升 root,Android 風險要睇 kernel
本機漏洞唔等於遠端入侵,server、NAS 同新 Android 機要追更新
先講清楚:呢個係本機提權
iThome 報道,Linux kernel epoll 子系統新公開咗 Bad Epoll,正式編號係 CVE-2026-46242,CVSS 3.1 係 7.8 分。重點唔係有人可以隔空掃你部機。攻擊者要先可以喺裝置上跑低權限 code,之後先有機會升到 root。換句話講,惡意 app、已經俾人打穿嘅 service、共用 server 上嘅普通帳戶,先係要認真望住嗰批。

圖片:Wikimedia Commons — Muruatwiki(CC BY-SA 4.0)
epoll 點解會踩中咁大鑊
epoll 本身係 Linux 好核心嘅 I/O 事件機制,Nginx、Redis、HAProxy 呢類高併發 server 都靠佢一次過睇好多 FD。Bad Epoll 出事位係 close / remove 路徑有 race condition:一邊以為某個 kernel 物件已經清走,另一邊仲攞住舊指標寫落去,變成 use-after-free。喺 kernel 層寫錯地方,結果就唔止 crash,研究員 Jaeyoung Chung 已經示範到可以升 root。
唔好講到好似遠端一撳就中招
呢類漏洞最易俾標題講到太誇張。Bad Epoll 要先有本機執行能力,普通人淨係開住一部 Linux notebook,風險通常唔等於即刻俾陌生人隔空接管。不過喺公司 IT 角度,情況就嚴肅得多:一個低權限 web service、CI runner、開發機帳戶或者 NAS 套件如果先俾人入到,Bad Epoll 可能變成第二步升權工具。
Android 呢邊要分清楚
研究員公開資料話,Bad Epoll 屬於少數有機會打到 Android root 嘅 Linux kernel 漏洞,因為 epoll 係 Android 會用到嘅核心機制。佢提到 Pixel 10 之類用 6.6+ kernel 嘅目標,現有 PoC 可以觸發 UAF,完整 Android exploit 仲喺開發;Pixel 8 同其他 6.1 kernel 裝置就因為問題由 6.4 引入,按佢講法唔受影響。
Android 官方 6 月 bulletin 同 Android 17 security release notes 暫時未列 CVE-2026-46242,所以手機端唔應該一刀切講成全線 Android 中招。實際要睇廠方用邊條 kernel 線、有冇 backport patch、同 security patch level 點樣標。Pixel 以外嘅機,等品牌公告同 OTA 會實際過單靠型號年份估。
受影響版本唔可以淨係睇數字
NVD 同 kernel.org 資料確認,CVE-2026-46242 來自 eventpoll 入面嘅 UAF,kernel.org 畀出嘅 CVSS 3.1 向量係本機、低權限、唔使 user interaction,分數 7.8。研究員話問題由 2023 年 4 月一個 epoll 變動引入,主線修補喺 2026 年 4 月 24 日合入;但 Linux 發行版好多時會 backport,uname -r 見到舊版本號,唔代表一定冇修,又唔代表一定有事。
管 server / NAS 要做咩
管理員應該用 distro 自己嘅 security tracker 做準,唔好淨係追 upstream commit number。Debian tracker 已經列出 bullseye、bookworm、trixie、sid 各自狀態;Ubuntu 頁面亦標咗 24.04 LTS、25.10、26.04 LTS 多條 kernel package 仲係 vulnerable 或者 work in progress。實際做法係三件事:盤點 kernel package、套 distro 更新、重開機入新 kernel;冇 reboot 嘅 server,多數仲係舊 kernel 喺度跑。
AI 掃漏洞呢段背景可以睇,但唔係今次重點
今次有個有趣背景:同一段 epoll code 入面,Anthropic 嘅 Mythos 搵到另一個 race bug,但冇捉到 Bad Epoll。呢件事值得留意,但唔使過度演繹成「人類贏 AI」之類戲碼。kernel race bug 難搞嘅位係時間窗細、runtime 訊號少、修補又容易漏半截;工具可以幫手,最後都仲要靠研究員同 maintainer 逐格拆清楚生命週期、lock 同引用計數。
下一步睇更新
一般 Linux desktop 用家,裝返 distro security update 同 reboot 已經係重點;開放 shell、跑多租戶服務、容器平台、CI/CD、NAS、homelab 嘅人就要快啲排 patch window。Android 用家就睇 OTA 同 security patch level,尤其係新 kernel 線嘅機;未有廠方公告前,唔好因為聽到 Android 受影響就自己腦補成每部手機都即時可 root。
參考來源
- iThome — Linux核心又被發現新的本機權限提升漏洞Bad Epoll,Android也受到影響 — original report
- NVD:CVE-2026-46242 — 核實 CVE 描述、CVSS 7.8、攻擊向量同 kernel.org 修補參考。
- kernel.org stable patch a6dc643c6931 — 官方修補 commit 參考,NVD 同 GitHub advisory 都指向呢個 patch。
- Jaeyoung Chung:Bad Epoll write-up — 研究員原始 write-up,用嚟核實 Android 影響、Pixel kernel 說法、PoC 狀態同 timeline。
- Ubuntu CVE-2026-46242 — 核對 Ubuntu 各條 kernel package 狀態,同管理員要追 distro backport 呢點。
- Debian Security Tracker:CVE-2026-46242 — 核對 Debian 各 release 修補版本同 vulnerable/fixed 狀態。
- Android Security Bulletin - June 2026 — 核對官方 6 月 Android bulletin;頁面未列 CVE-2026-46242,亦提供 patch level 背景。
- Android 17 Security Release Notes — 核對 Android 17 release notes 同 2026-07-01 patch level 文字,確認未列呢個 CVE。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







