Linux Kernel rtmutex UAF本地提权/容器逃逸漏洞公告(CVE-2026-43499)
近日,Linux内核被披露存在一个潜伏长达15年的本地权限提升漏洞,漏洞编号CVE-2026-43499,代号“GhostLock”。该漏洞存在于Linux内核的实时互斥锁(rtmutex)子系统中,本地低权限攻击者可通过利用futex系统中的竞态条件,获取悬空指针,最终在受影响系统上实现本地权限提升与容器逃逸等危害。
漏洞详情
| 漏洞类型 | CVE-ID | 漏洞级别 | 披露/发现时间 |
|---|---|---|---|
| 本地提权、容器逃逸 | 高 | 2026-07-08 |
漏洞影响
CVE-2026-43499是Linux内核rtmutex/futex PI(Priority Inheritance)重排路径中的一个本地提权漏洞,根因位于kernel/locking/rtmutex.c的remove_waiter()。当futex_requeue()通过rt_mutex_start_proxy_lock()为别的线程做代理加锁(proxy lock)并走到失败回滚路径时,旧代码错误地把current当作waiter所属任务来清理,导致真正waiter线程的pi_blocked_on没有被清掉,最终留下指向内核栈上rt_mutex_waiter的悬空指针,并可进一步进入use-after-free。
受影响的内核版本范围:
- 2.6.39 <= Linux Kernel < 6.1.175
- 6.2 <= Linux Kernel < 6.6.140
- 6.7 <= Linux Kernel < 6.12.86
- 6.13 <= Linux Kernel < 6.18.27
- 6.19 <= Linux Kernel < 7.0.4
CCE集群中的节点受该漏洞影响,包括:CentOS 7.6、Huawei Cloud EulerOS 1.1、Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统。
漏洞消减方案
在容器工作负载自定义seccomp配置文件中,拦截触发该漏洞的特定futex操作(如FUTEX_WAIT_REQUEUE_PI和FUTEX_CMP_REQUEUE_PI)。详情请参见使用seccomp限制容器的系统调用。
seccomp配置规则示例如下:
"syscalls": [
{
"names": [
"futex"
],
"action": "SCMP_ACT_ERRNO",
"args": [
{
"index": 1,
"op": "SCMP_CMP_MASKED_EQ",
"value": 127,
"valueTwo": 11
}
]
},
{
"names": [
"futex"
],
"action": "SCMP_ACT_ERRNO",
"args": [
{
"index": 1,
"op": "SCMP_CMP_MASKED_EQ",
"value": 127,
"valueTwo": 12
}
]
}
]
CCE功能不依赖上述seccomp配置,请您在测试环境充分验证后再实施。
漏洞修复方案
针对Huawei Cloud EulerOS 2.0、Ubuntu 22.04操作系统,CCE和相关团队将发布新版本OS修复,请关注操作系统镜像版本说明。
针对CentOS 7.6、Huawei Cloud EulerOS 1.1、EulerOS 2.9、EulerOS 2.10操作系统,当前已经EOS,请切换到Huawei Cloud EulerOS 2.0或Ubuntu 22.04操作系统。
在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。