MethodWhite/kernel-security-patches

# Linux Kernel 安全补丁 - 2026 CVE ## 概述 本仓库包含针对 Linux 内核的安全补丁和加固配置，特别关注 2026 年发现的近期严重漏洞。 这些补丁兼容运行内核 6.12.x 的基于 Debian 的发行版（包括 ParrotOS、Kali、Ubuntu）。 ## 已修复的严重 CVE | CVE | 严重性 | 描述 | 状态 | |-----|----------|-------------|--------| | **CVE-2026-31431** | 高危 (7.8) | Copy Fail - 通过页缓存的本地权限提升 | ✅ 已修复 | | **CVE-2026-31589** | 极危 (9.8) | folio_unmap_invalidate 中的释放后使用 | ✅ 已修复 | | **CVE-2026-31649** | 极危 (9.8) | stmmac 以太网驱动中的整数下溢 | ✅ 已修复 | | **CVE-2026-31533** | 高危 (7.8) | TLS 子系统中的释放后使用 | ✅ 已修复 | | **CVE-2026-31408** | 中危 (5.5) | Bluetooth SCO 中的释放后使用 | ✅ 已修复 | ## 快速开始 ### 1. 应用内核补丁 ``` # Clone 此 repository git clone https://github.com/MethodWhite/kernel-security-patches.git cd kernel-security-patches # 下载你的 kernel 源码 apt-get source linux-image-$(uname -r) # Apply patches chmod +x apply-kernel-fixes.sh ./apply-kernel-fixes.sh /path/to/kernel/sources # Build 并安装 cd /path/to/kernel make -j$(nproc) sudo make modules_install sudo make install sudo update-grub sudo reboot ``` ### 2. 应用系统加固 ``` # 运行系统安全修复脚本 chmod +x apply-fixes-immediate.sh sudo ./apply-fixes-immediate.sh ``` ## 包含的文件 ``` ├── CVE-2026-31431-copy-fail.patch # Copy Fail vulnerability ├── CVE-2026-31589-folio-unmap-uaf.patch # Memory management UAF ├── CVE-2026-31533-tls-uaf.patch # TLS subsystem UAF ├── CVE-2026-31408-bluetooth-sco-uaf.patch # Bluetooth UAF ├── CVE-2026-31649-stmmac-integer-underflow.patch ├── apply-kernel-fixes.sh # Kernel patch applicator ├── apply-fixes-immediate.sh # System hardening script ├── system-security-analyzer.sh # Security analysis tool ├── INFORME_COMPLETO_VULNERABILIDADES.md # Full vulnerability report └── INFORME_ANALISIS_SISTEMA.md # System analysis report ``` ## 缓解措施（无需重新构建） 对于无法重新构建内核的系统，请应用以下即时缓解措施： ``` # Block 易受攻击的 module (CVE-2026-31431) echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf sudo rmmod algif_aead 2>/dev/null || true ``` ## 安全验证 验证您的系统是否受到保护： ``` # 检查 kernel 版本 uname -r # Verify 缓解措施是否处于活动状态 cat /etc/modprobe.d/disable-algif.conf lsmod | grep algif # 检查安全设置 sysctl kernel.unprivileged_bpf_disabled # Should be 1 sysctl kernel.kptr_restrict # Should be 2 sysctl kernel.dmesg_restrict # Should be 1 ``` ## 已应用的系统加固 本仓库还提供了系统级别的安全修复： - 禁用 ICMP 回显（防止 ping 扫描） - SSH 加固（仅限基于密钥的身份验证，禁止 root 登录） - 服务安全（禁用未使用的远程服务） - 网络加固（禁用源路由等） ## 参考资料 - [NVD CVE-2026-31431](https://nvd.nist.gov/vuln/detail/CVE-2026-31431) - [NVD CVE-2026-31589](https://nvd.nist.gov/vuln/detail/CVE-2026-31589) - [Kernel 稳定版补丁](https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git) - [CERT-EU 咨询公告 2026-005](https://cert.europa.eu/publications/security-advisories/2026-005) ## 许可证 MIT 许可证 - 可自由使用和修改。 ## 免责声明 这些补丁按原样提供。在应用内核更新之前，请务必备份您的系统。在部署到生产环境之前，请先在虚拟机中进行测试。 **最后更新**：2026-05-02 **适用内核**：6.12.x (Debian/ParrotOS)

标签：API接口, Cutter, CVE-2026, Debian, Go语言工具, GPT, Kernel 6.12, Linux内核, NVIDIA CUDA, ParrotOS, TLS子系统, Use-After-Free, Web报告查看器, 以太网驱动, 内存安全, 内核加固, 协议分析, 子域名枚举, 安全渗透, 安全补丁, 整数下溢, 本地提权, 权限提升, 漏洞修复, 漏洞管理, 系统安全, 系统运维, 网络安全, 网络安全培训, 自定义内核, 蓝牙漏洞, 隐私保护, 页缓存