目录
linux 内核的 nf_tables 子系统中,一个错误的感叹号(
!)导致了引用计数逻辑颠倒,攻击者可利用该漏洞触发 use‑after‑free,将普通用户权限提升至系统最高权限 root。该漏洞编号 cve-2026-23111,影响大量 linux 发行版,目前主流内核已修复。本文将详细拆解漏洞原理、危害范围,并提供完整的修复与临时防御方案。
一、 漏洞速览:一个字符的代价
| 项目 | 详情 |
|---|---|
| cve 编号 | cve-2026-23111 |
| 漏洞类型 | 引用计数错误 → use-after-free → 本地提权(lpe) |
| 危害等级 | 高危(cvss 7.8 ) |
| 影响组件 | linux 内核 nf_tables 子系统(netfilter 框架) |
| 攻击条件 | 需要低权限用户(普通用户)本地访问 |
| 利用复杂度 | 中等(需触发特定条件,但 poc 已公开) |
| 修复状态 | 2026 年 2 月主线补丁已合入,各发行版已跟进 |
| 公开 poc | 已公开,可在 debian、ubuntu 上运行 |
该漏洞由 exodus intelligence 发现并披露,其根源仅为一个感叹号的位置错误——本应使用
!=的地方写成了=,导致条件判断完全相反。
二、 漏洞原理:一个感叹号如何撬动内核
2.1 nf_tables 是什么?
nf_tables 是 linux 内核中 netfilter 框架的下一代包过滤子系统,用于替代旧的 iptables。它管理着规则集(table)、链(chain)和规则(rule)等对象,并维护引用计数以管理内存生命周期。

2.2 错误代码位置
漏洞位于某个判决映射(judgment map)删除后的资源回收流程中。正常情况下:
- 当删除成功时,相关元素失效,链对象的引用计数减少。
- 若删除失败(例如资源被占用),系统应回滚并恢复引用计数。
然而,由于一个感叹号的错误,条件判断逻辑被反转:原本应该递减引用计数的操作变成了递增,反之亦然。
2.3 攻击链:从引用计数错误到 root
攻击者可利用该漏洞多次触发错误的引用计数变化,使得一个链对象在仍有其他对象指向它时被错误地释放(引用计数提前归零),造成 use‑after‑free。
后续攻击者通过以下步骤完成提权:
- 信息泄露:利用 use‑after‑free 泄露内核基址和堆地址,绕过 kaslr(内核地址空间随机化)。
- 控制流劫持:伪造内核函数指针,执行任意代码。
- 权限提升:将当前进程的权限提升至 root。
exodus intelligence 已发布概念验证(poc),并在 debian 和 ubuntu 上验证成功。普通用户权限即可触发,无需任何特殊能力。
三、 影响范围
- 受影响内核版本:几乎所有引入 nf_tables 且未合入修复补丁的 linux 内核(具体版本范围取决于发行版)。
- 受影响发行版:
- ubuntu(多个版本)
- debian(稳定版、测试版)
- centos / rhel(若内核版本未回移植补丁)
- 其他使用受影响内核的 linux 发行版
验证方法:执行 uname -a 查看内核版本,并与发行版安全公告对比。
四、 修复方案(立即执行)
4.1 升级内核(最彻底)
各大发行版已向后移植修复补丁,请立即更新:
ubuntu / debian:
sudo apt update && sudo apt upgrade linux-image-$(uname -r)
sudo reboot
centos / rhel / rocky linux / almalinux:
sudo yum update kernel # 或 dnf update kernel
sudo reboot
验证修复:重启后执行 uname -a,确认版本已包含 2026 年 2 月之后的补丁。
4.2 临时缓解(无法重启时)
由于该漏洞需要本地用户执行恶意程序,最直接的缓解措施是:
- 限制非信任用户登录:禁止普通用户通过 ssh 登录(修改
/etc/ssh/sshd_config的allowusers或denyusers)。 - 使用 linux 安全模块:启用 selinux(enforcing 模式)或 apparmor,可降低漏洞被利用的风险。
- 部署主机入侵检测(hids):监控可疑的进程行为(如异常的 ptrace、capability 提升等)。
4.3 部署 waf?注意:该漏洞为本地提权,非 web 漏洞
需要强调:cve-2026-23111 是本地漏洞,web 应用防火墙(waf)无法直接防御。攻击者必须先在目标系统上拥有一个低权限 shell(例如通过 web 漏洞获得)。因此,除了更新内核,还应加固 web 入口。
推荐做法:在 web 服务器前部署 百度云防护 waf,可拦截 sql 注入、文件上传、命令注入等获取初始 shell 的攻击,从而切断攻击链的第一步。即使内核存在提权漏洞,攻击者无法进入系统也就无法利用。
五、 站长/运维人员行动指南
| 优先级 | 措施 | 说明 |
|---|---|---|
| 紧急 | 升级内核并重启 | 唯一彻底的修复方式 |
| 高 | 审查服务器用户 | 移除不必要的低权限账户,禁用密码登录 ssh |
| 中 | 部署 waf 阻断 web 入口 | 防止攻击者通过网站漏洞获得初始 shell |
| 中 | 监控系统日志 | 关注异常进程创建、权限提升尝试 |
六、 总结
一个感叹号的错误,潜入了 linux 内核的 nf_tables 子系统中,导致引用计数逻辑反转,最终可让普通用户提权至 root。该漏洞 poc 已公开,所有运行受影响内核版本的 linux 服务器都应立即升级。
安全无小事,请第一时间重启更新内核。 同时,别忘了加固你的 web 应用入口——百度云防护 waf 可以帮助你拦截绝大多数用于获取初始 shell 的 web 攻击,形成纵深防御。
如果你不确定自己的服务器是否受影响,或需要协助升级内核、部署 waf,欢迎联系 主机吧。我们提供免费安全评估和澳门凯发的技术支持。
主机吧 | 百度云防护官方澳门凯发的合作伙伴
提供 waf 接入、高防 cdn、高防 ip、高防服务器、ssl 证书一站式服务
让内核漏洞不再是服务器的定时炸弹。
