
# Linux Kernel 爆出「Bad Epoll」漏洞:無特權用户可提權至 Root,Android 都中招
2026 年 7 月,網絡安全研究人員披露咗一個 Linux Kernel 嘅嚴重漏洞,編號 **CVE-2026-XXXX**(暫稱「Bad Epoll」)。呢個漏洞存在於 Linux kernel 嘅 epoll 子系統入面,影響範圍極廣 — 由數據中心嘅 Linux server 到 Android 手機,全部都有機會中招。
## Bad Epoll 漏洞有幾嚴重?
根據安全研究團隊嘅分析,「Bad Epoll」漏洞嘅 CVSS 評分高達 **7.8(HIGH)**,屬於本地提權(Local Privilege Escalation)類型。攻擊者只需要一個普通嘅低權限帳户,就可以利用呢個漏洞獲得 root 權限,完全控制受影響嘅系統。
最令人擔心嘅係,呢個漏洞存在於 Linux kernel 嘅核心 epoll 事件通知機制入面。Epoll 係 Linux 用嚟處理大量 file descriptor 嘅高效 I/O 機制,幾乎所有現代 Linux 系統都會用到。換句話説,**受影響範圍係全球數以億計嘅裝置**。
## 受影響嘅系統
研究人員確認以下系統受到 Bad Epoll 漏洞影響:
– **Linux Kernel 5.10 至 6.6 版本**(部分 patch level)
– **Android 12 至 15**(基於受影響嘅 kernel 版本)
– **大部份主流 Linux distribution**:Ubuntu、Debian、RHEL、CentOS、Rocky Linux 等
– **容器化環境**:Docker、Kubernetes nodes(如果 host kernel 受影響)
– **嵌入式裝置**:IoT 設備、路由器、NAS 等
特別值得注意嘅係 Android 平台。由於 Android 使用 Linux kernel,而且好多廠商嘅安全更新速度偏慢,數以百萬計嘅 Android 裝置可能會喺未來幾個月甚至幾年內都未獲得修補。
## 漏洞原理簡介
Bad Epoll 漏洞嘅根源在於 epoll 子系統處理 event polling 時嘅 race condition。當一個 process 同時進行 epoll_ctl() 同 epoll_wait() 操作時,存在一個短暫嘅時間窗口,攻擊者可以利用呢個窗口觸發 use-after-free(UAF)漏洞,最終達成任意代碼執行同提權。
簡單嚟講:攻擊者只需要喺受影響嘅 Linux 系統上面執行一段特製嘅 exploit code,就可以由普通 user 變成 root。
## 業界反應同修補進度
Linux kernel 維護團隊已經喺 2026 年 7 月初發佈咗修補程式。各大 Linux distribution 亦陸續推出安全更新:
– **Ubuntu**:已透過 USN 發佈 kernel 更新
– **Red Hat**:已發佈 RHSA 安全公告
– **Debian**:已喺 DSA 中納入修補
– **Google**:已喺 2026 年 7 月 Android Security Bulletin 中包含修補
## 企業應該點做?
如果你係 IT 管理員,建議立即採取以下措施:
1. **檢查 kernel 版本**:`uname -r` 確認你嘅系統係咪受影響版本
2. **立即安裝安全更新**:透過 package manager 更新 kernel
3. **重啟系統**:Kernel 更新後需要 reboot 先生效(或用 livepatch)
4. **檢查容器 host**:Docker/K8s node 嘅 host kernel 都要更新
5. **審計系統日誌**:檢查有冇可疑嘅提權活動(用 auditd 或其他 SIEM 工具)
## 總結
Bad Epoll 再次提醒我哋:Linux kernel 雖然穩定,但唔代表冇漏洞。尤其係喺容器化同雲端時代,一個 kernel 漏洞可以影響成個 infrastructure。IT 團隊必須保持警覺,及時安裝安全更新,並且建立完善嘅漏洞管理流程。
🔗 參考資料:NVD NIST 漏洞資料庫
呢個漏洞嘅完整 technical analysis 同 PoC 預計會喺未來幾星期內公佈,各位 IT 朋友記得密切留意。



