g0thamRabb1t/cve-2026-46331-pedit-cow-auditd-detection
GitHub: g0thamRabb1t/CVE-2026-46331-pedit-COW-detection
针对 Linux 内核漏洞 CVE-2026-46331 的防御性验证报告,提供 auditd/AppArmor 遥测分析与多平台检测逻辑。
Stars: 0 | Forks: 0
# CVE-2026-46331 pedit COW – Linux LPE 验证与 auditd/AppArmor 检测
## 仓库描述
本仓库包含 **CVE-2026-46331 / pedit COW** 的防御性验证报告,这是一个与 `net/sched/act_pedit` 相关的 Linux 内核本地提权漏洞。
该项工作记录了在 Ubuntu 上进行的受控实验室验证,包括:
- 缓解前和缓解后的行为,
- auditd 和 AppArmor 遥测数据,
- 内核日志工件,
- 针对 SOC/SIEM 用例的检测逻辑,
- 使用 `kernel.apparmor_restrict_unprivileged_unconfined=1` 进行的缓解验证。
本仓库**不**提供漏洞利用代码。其目的是进行防御性分析、检测工程、漏洞验证和报告。
## 报告
报告可在 [`/reports`](reports/) 目录中找到:
| 语言 | 文件 |
|---|---|
| 英语 | [`CVE-2026-46331_pedit_COW_auditd_EN.pdf`](reports/CVE-2026-46331_pedit_COW_auditd_EN.pdf) |
| 波兰语 | [`CVE-2026-46331_pedit_COW_auditd_PL.pdf`](reports/CVE-2026-46331_pedit_COW_auditd_PL.pdf) |
## 验证内容
报告记录了受测的 Ubuntu 主机是否满足本地提权路径所需的条件,包括:
- `act_pedit` 内核模块的可用性,
- 启用非特权 user namespace,
- AppArmor user namespace 限制,
- 存在与受测路径相关的未受限 AppArmor 配置文件,
- auditd 对 namespace 创建、netlink 使用、`aa-exec` 和 root 进程执行的可见性。
实验室还比较了启用前后的系统行为:
```
kernel.apparmor_restrict_unprivileged_unconfined=1
```
## 检测重点
本仓库的主要价值在于以检测为导向的验证。报告侧重于关联多个遥测源,而不是单一的指标。
高可信度行为序列:
```
unprivileged user
-> namespace creation
-> netlink socket usage
-> aa-exec / AppArmor profile transition
-> root_exec with euid=0
```
有用的 auditd 键和指标:
```
ns_create
netlink_socket
apparmor_bypass_path
root_exec
tc action pedit offset out of bounds
AppArmor DENIED sys_admin/net_admin
```
报告还包含了针对 auditd、Splunk SPL、XQL、内核日志和 AppArmor 事件的检测逻辑示例。
## 仓库结构
当前结构:
```
.
├── README.md
└── reports/
├── CVE-2026-46331_pedit_COW_auditd_EN.pdf
└── CVE-2026-46331_pedit_COW_auditd_PL.pdf
```
这已满足当前的范围需求。如果之后将检测规则提取为独立文件,可能会添加一个可选的 `/detections` 目录:
```
detections/
├── auditd.rules
├── splunk.spl
└── xql.xql
```
## 目标受众
此材料可能对以下人员有用:
- 漏洞管理团队,
- SOC 分析师,
- 检测工程师,
- Linux 管理员,
- 事件响应人员,
- 在受控实验室环境中工作的安全研究人员。
## 仅限防御用途
此材料旨在用于受控验证、防御性检测开发和缓解措施评估。未经明确授权,不得将其用于攻击系统。
## 核心结论
经过测试的缓解措施降低了所测漏洞利用路径的实际影响,但配置层面的缓解措施不应被视为内核更新的替代方案。推荐的方法是在条件允许时修补内核,并保持额外的安全加固。
## 参考
- NVD: CVE-2026-46331
- Ubuntu Security: CVE-2026-46331
- Ubuntu AppArmor user namespace 限制文档
- The Hacker News 关于 pedit COW 的报道
- Red Hat CVE 公告
标签:AppArmor, auditd, CSV导出, Linux内核, Maven, Web报告查看器, 安全渗透, 本地提权, 漏洞验证, 管理员页面发现