Linux 现 “ssh - keysign - pwn” 漏洞，多个内核版本已推出修复补丁-开发者社区

Linux 现 “ssh - keysign - pwn” 漏洞

又是新的一天，Linux 又被发现一个漏洞。如今虽已有补丁，但大多数发行版尚未更新。Linux 最新的内核漏洞名为 “ssh - keysign - pwn”，这是几周内 Linux 遭遇的第四个备受瞩目的本地安全漏洞。该漏洞可使普通用户悄悄读取系统中一些最敏感的文件，包括安全外壳协议（Secure Shell，SSH）主机私钥和影子密码文件。

“ssh - keysign - pwn” 这个昵称源于该漏洞主要利用途径之一，即滥用 OpenSSH 的 ssh - keysign 辅助二进制文件。Keysign 用于基于主机的身份验证，通常以 setuid root 权限运行，在降低权限完成工作之前会打开系统的 SSH 主机密钥。

此外，两周内发现了第三个重大 Linux 内核漏洞，而这多亏了人工智能。又一个恼人且可能危险的 Linux 漏洞出现了，这正是我们所不愿看到的。

漏洞解析

安全公司 Qualys 的安全研究人员披露了 CVE - 2026 - 46333，这是 Linux 内核 ptrace 访问检查中的一个信息泄露漏洞。Qualys 称该漏洞以某种形式存在了大约六年，存在于进程退出时运行的 __ptrace_may_access() 逻辑中。在某些条件下，当进程释放其内存映射后，内核会跳过正常的 “可转储” 检查，这就为另一个进程窃取其文件描述符打开了一个短暂的窗口。

虽然 “ssh - keysign - pwn” 本身不会直接提供完整的 root 权限 shell，但窃取主机密钥和密码哈希的能力是横向移动和长期留存的有力手段。攻击者利用窃取的 SSH 主机密钥，可在基于主机的信任关系中假冒机器；若能访问影子密码目录，他们可以尝试离线破解密码，并在多个系统中复用这些凭证。

此外，Linux 正在迎来安全警钟。在补丁中，Linus Torvalds 解释说问题的存在是因为 “我们有一个特殊情况：ptrace_may_access() 使用 ‘dumpable’ 来检查各种与内存管理（MM）完全无关的事情（通常明确使用像 PTRACE_MODE_READ_FSCREDS 这样的标志）。包括针对那些不再有虚拟内存（VM）的线程（也许从来就没有，比如大多数内核线程）。这不是该标志设计的用途，但事实就是如此”。

对我们而言，这意味着通过将这个逻辑错误与 pidfd_getfd(2) 系统调用相结合，无特权的用户可以访问正在关闭的特权进程，获取其仍处于打开状态的文件描述符，然后读取通常只有 root 用户才能访问的文件。

若不是 Qualys 通过概念验证（PoC）漏洞利用证明该漏洞在实际中可以被可靠触发，而不只是理论上可行，这可能还不算什么大问题。好在修复方案已经推出，Linux 稳定版维护者 Greg Kroah - Hartman 已在多个受支持的分支中推出了更新，包括 7.0.8、6.18.31、6.12.89、6.6.139、6.1.173、5.15.207 和 5.10.256 等新版本，这些版本都修复了 “ssh - keysign - pwn” 漏洞。

你需要做的事

你应尽快升级到这些内核之一，该漏洞影响 2026 年 5 月 14 日之前发布的所有 Linux 内核。否则，就像 Manjaro Linux 团队一位疲惫的成员所说：“如果不需要，就别运行你的电脑。把自己关起来，时刻警惕。” 好吧，这确实是一种应对方法！

在修复后的内核广泛可用之前，安全团队有一些缓解措施，但都有一定的权衡。一个简单粗暴的解决方法是通过命令 “sysctl kernel.yama.ptrace_scope = 2” 收紧 Linux 的 Yama ptrace 限制。这会禁止非 root 用户使用 ptrace 并阻止漏洞利用，但也会破坏许多调试和监控工作流程，对开发者工作流程不太友好。你还可以在不需要的系统上完全禁用基于主机的 SSH 身份验证和 ssh - keysign 辅助工具，以减少风险。这消除了窃取主机密钥的主要途径，但也会使 SSH 无法使用，这对许多 Linux 系统来说是不可接受的。

至于我，我会密切关注我的系统，希望我日常使用的发行版 —— Linux Mint、Ubuntu、AlmaLinux、openSUSE 和 Rocky Linux —— 在本周末前完成补丁更新。