g0thamRabb1t/cve-2026-46331-pedit-cow-auditd-detection

GitHub: g0thamRabb1t/CVE-2026-46331-pedit-COW-detection

针对 Linux 内核漏洞 CVE-2026-46331 的防御性验证报告,提供 auditd/AppArmor 遥测分析与多平台检测逻辑。

Stars: 0 | Forks: 0

# CVE-2026-46331 pedit COW – Linux LPE 验证与 auditd/AppArmor 检测 ## 仓库描述 本仓库包含 **CVE-2026-46331 / pedit COW** 的防御性验证报告,这是一个与 `net/sched/act_pedit` 相关的 Linux 内核本地提权漏洞。 该项工作记录了在 Ubuntu 上进行的受控实验室验证,包括: - 缓解前和缓解后的行为, - auditd 和 AppArmor 遥测数据, - 内核日志工件, - 针对 SOC/SIEM 用例的检测逻辑, - 使用 `kernel.apparmor_restrict_unprivileged_unconfined=1` 进行的缓解验证。 本仓库**不**提供漏洞利用代码。其目的是进行防御性分析、检测工程、漏洞验证和报告。 ## 报告 报告可在 [`/reports`](reports/) 目录中找到: | 语言 | 文件 | |---|---| | 英语 | [`CVE-2026-46331_pedit_COW_auditd_EN.pdf`](reports/CVE-2026-46331_pedit_COW_auditd_EN.pdf) | | 波兰语 | [`CVE-2026-46331_pedit_COW_auditd_PL.pdf`](reports/CVE-2026-46331_pedit_COW_auditd_PL.pdf) | ## 验证内容 报告记录了受测的 Ubuntu 主机是否满足本地提权路径所需的条件,包括: - `act_pedit` 内核模块的可用性, - 启用非特权 user namespace, - AppArmor user namespace 限制, - 存在与受测路径相关的未受限 AppArmor 配置文件, - auditd 对 namespace 创建、netlink 使用、`aa-exec` 和 root 进程执行的可见性。 实验室还比较了启用前后的系统行为: ``` kernel.apparmor_restrict_unprivileged_unconfined=1 ``` ## 检测重点 本仓库的主要价值在于以检测为导向的验证。报告侧重于关联多个遥测源,而不是单一的指标。 高可信度行为序列: ``` unprivileged user -> namespace creation -> netlink socket usage -> aa-exec / AppArmor profile transition -> root_exec with euid=0 ``` 有用的 auditd 键和指标: ``` ns_create netlink_socket apparmor_bypass_path root_exec tc action pedit offset out of bounds AppArmor DENIED sys_admin/net_admin ``` 报告还包含了针对 auditd、Splunk SPL、XQL、内核日志和 AppArmor 事件的检测逻辑示例。 ## 仓库结构 当前结构: ``` . ├── README.md └── reports/ ├── CVE-2026-46331_pedit_COW_auditd_EN.pdf └── CVE-2026-46331_pedit_COW_auditd_PL.pdf ``` 这已满足当前的范围需求。如果之后将检测规则提取为独立文件,可能会添加一个可选的 `/detections` 目录: ``` detections/ ├── auditd.rules ├── splunk.spl └── xql.xql ``` ## 目标受众 此材料可能对以下人员有用: - 漏洞管理团队, - SOC 分析师, - 检测工程师, - Linux 管理员, - 事件响应人员, - 在受控实验室环境中工作的安全研究人员。 ## 仅限防御用途 此材料旨在用于受控验证、防御性检测开发和缓解措施评估。未经明确授权,不得将其用于攻击系统。 ## 核心结论 经过测试的缓解措施降低了所测漏洞利用路径的实际影响,但配置层面的缓解措施不应被视为内核更新的替代方案。推荐的方法是在条件允许时修补内核,并保持额外的安全加固。 ## 参考 - NVD: CVE-2026-46331 - Ubuntu Security: CVE-2026-46331 - Ubuntu AppArmor user namespace 限制文档 - The Hacker News 关于 pedit COW 的报道 - Red Hat CVE 公告
标签:AppArmor, auditd, CSV导出, Linux内核, Maven, Web报告查看器, 安全渗透, 本地提权, 漏洞验证, 管理员页面发现