🔎 O que é?
Foi divulgada publicamente a vulnerabilidade Bad epoll (CVE-2026-46242), uma falha de segurança no subsistema epoll do kernel Linux.
A vulnerabilidade resulta de uma condição use-after-free no mecanismo responsável pela gestão de eventos de entrada/saída (I/O), permitindo que um utilizador local sem privilégios obtenha privilégios root.
Encontra-se disponível um proof-of-concept (PoC) público, que demonstra uma elevada taxa de sucesso na exploração da vulnerabilidade.
⚠️ O que afeta?
A vulnerabilidade afeta kernels Linux que incluam a implementação vulnerável do subsistema epoll.
Segundo a informação atualmente disponível, o impacto é particularmente relevante em sistemas baseados em kernels recentes utilizados por diversas distribuições Linux.
Em ambientes de alojamento partilhado, um atacante que consiga comprometer previamente um único website poderá utilizar esta vulnerabilidade para escalar privilégios até root, comprometendo potencialmente todo o servidor.
🧠 Impacto técnico
A vulnerabilidade resulta de uma condição de corrida (race condition) no código interno do subsistema epoll, permitindo escrever sobre memória previamente libertada pelo kernel.
Esta corrupção de memória pode ser utilizada para obter acesso arbitrário à memória do kernel e, consequentemente, executar código com privilégios máximos.
O impacto potencial inclui:
- Escalada local de privilégios para root
- Compromisso completo do servidor
- Acesso a dados de outros utilizadores
- Contorno dos mecanismos de isolamento entre contas
- Execução de código arbitrário no kernel
Embora a vulnerabilidade exija acesso local, em ambientes de alojamento partilhado um website previamente comprometido poderá servir como ponto de partida para a exploração.
🛡️ Mitigação da Vulnerabilidade
Ao contrário de outras vulnerabilidades recentes do kernel Linux, não existe uma mitigação temporária eficaz.
O subsistema epoll constitui um componente essencial do kernel e é utilizado por praticamente todos os processos do sistema operativo, não sendo possível desativá-lo sem comprometer o funcionamento normal do sistema.
A única mitigação efetiva consiste na:
- Atualização para um kernel corrigido disponibilizado pela distribuição Linux;
- Aplicação de livepatch, quando suportado;
- Reinício do sistema após instalação do novo kernel, caso aplicável.
✅ Recomendações
Recomendamos aos clientes com servidores próprios ou não geridos que:
- Apliquem as atualizações de kernel disponibilizadas pela sua distribuição Linux assim que estejam disponíveis;
- Reiniciem o sistema após atualização do kernel, quando necessário;
- Utilizem soluções de livepatch sempre que possível para reduzir janelas de exposição;
- Mantenham os sistemas permanentemente atualizados.
Clientes com serviços geridos pela WebTuga não necessitam de efetuar qualquer intervenção sobre a infraestrutura administrada pela nossa equipa técnica.
🧾 Conclusão
A vulnerabilidade Bad epoll (CVE-2026-46242) representa mais um exemplo da importância de manter o kernel Linux permanentemente atualizado.
Embora apenas possa ser explorada localmente, em ambientes multiutilizador ou de alojamento partilhado pode permitir que o comprometimento inicial de uma única aplicação evolua para o controlo completo do servidor.
Recomendamos a aplicação das atualizações de segurança disponibilizadas pela respetiva distribuição Linux com a maior brevidade possível.
Para mais informações:
- https://nvd.nist.gov/vuln/detail/CVE-2026-46242
- https://github.com/J-jaeyoung/bad-epoll

