"pedit COW" olarak adlandırılan bu kritik zafiyet, Linux ağ trafiği kontrol mekanizmasındaki bir bellek yönetim hatasından kaynaklanıyor.
BELLEKTEKİ DOSYA KOPYALARI HEDEF ALINIYOR
Söz konusu açık, ağ trafiği alt sisteminde yer alan paket başlığı düzenleme bileşenindeki (act_pedit) sınır dışı yazma hatasından ileri geliyor. Çekirdeğin paket başlıklarını yeniden yazarken kullandığı copy-on-write (COW) mekanizmasındaki bu aksaklık, saldırganların disk üzerindeki orijinal dosyalara hiç dokunmadan doğrudan RAM'deki önbellek kopyalarını (page cache) zehirlemesine imkan tanıyor. Bu yöntemle yetkisiz kullanıcılar, "/bin/su" gibi kritik sistem dosyalarının bellek kopyalarına zararlı kod enjekte ederek sistem bütünlüğü kontrollerine takılmadan root yetkisiyle işlem yürütebiliyor.
HANGİ SİSTEMLER RİSK ALTINDA?
Açığın başarıyla tetiklenebilmesi için sistemde "act_pedit" modülünün yüklü olması ve yetkisiz kullanıcı ad alanı (unprivileged user namespaces) özelliğinin aktif bulunması gerekiyor. RHEL 8, 9 ve 10'un yanı sıra Debian ve Ubuntu'nun birçok sürümü bu zafiyetten doğrudan etkileniyor ve risk "Yüksek / Önemli" kategorisinde sınıflandırılıyor. Ubuntu 26.04 gibi güncel dağıtımlar, varsayılan AppArmor kısıtlamaları sayesinde bu saldırı yolunu otomatik olarak kapatsa da çekirdek seviyesindeki temel zafiyet varlığını koruyor. Çok kullanıcılı sunucular, Kubernetes düğümleri (nodes) ve CI/CD sistemleri en öncelikli risk grupları arasında yer alıyor.
GÜVENLİK ÖNLEMLERİ VE GEÇİCİ ÇÖZÜMLER
Sistem yöneticilerinin bu açığı kapatmak için dağıtım üreticileri tarafından yayınlanan yamalı çekirdek sürümlerine hızlıca geçiş yapması ve sistemlerini yeniden başlatması gerekiyor. Güncellemenin hemen uygulanamadığı senaryolarda ise tehdidi engellemek için şu geçici adımlar öneriliyor:
-Modülü Engellemek: Eğer sistemde trafik kontrolü kuralları kullanılmıyorsa, "act_pedit" modülünün otomatik olarak yüklenmesi engellenebilir.
-Kullanıcı Ad Alanını Kısıtlamak: Yetkisiz kullanıcı ad alanları (unprivileged userns) devre dışı bırakılabilir; ancak bu işlemin köksüz (rootless) konteyner yapıları üzerinde yan etkiler oluşturabileceği göz önünde bulundurulmalıdır.
-Önbelleği Temizlemek: Saldırı doğrudan "page cache" üzerinde gerçekleştiği için sistemin korumaya alınmasının ardından önbellek kopyalarının temizlenerek diskten yeniden yüklenmeye zorlanması büyük önem taşıyor.
