Uma nova falha de segurança no Kernel Linux, apelidada de pedit COW e registrada como CVE-2026-46331, acendeu um alerta entre administradores de sistemas e profissionais de segurança. A vulnerabilidade pode permitir que um usuário local obtenha privilégios de root explorando um erro no mecanismo de Copy-on-Write (COW) relacionado ao subsistema de controle de tráfego da rede.
Embora o ataque dependa da execução local de código, seu impacto é especialmente preocupante em servidores compartilhados, infraestruturas em nuvem, clusters de contêineres e ambientes multiusuário, onde um usuário com privilégios limitados pode comprometer todo o sistema caso a exploração seja bem-sucedida.
Neste artigo, você entenderá como a CVE-2026-46331 funciona, por que ela recebeu o nome pedit COW, quais distribuições podem ser afetadas e quais medidas devem ser adotadas para proteger servidores e estações de trabalho.
O que é a pedit COW e como ela funciona
A CVE-2026-46331 foi descoberta no componente act_pedit, pertencente ao subsistema net/sched do Kernel Linux. Esse componente é utilizado pelo mecanismo Traffic Control (tc) para modificar campos de pacotes durante operações de controle de tráfego de rede.
O problema está em uma falha na implementação do mecanismo Copy-on-Write (COW). Durante determinadas operações, o kernel calcula antecipadamente a área de memória que deverá ser copiada antes da gravação. Entretanto, o deslocamento efetivamente utilizado só é conhecido posteriormente.
Como consequência, apenas parte da região de memória passa corretamente pelo processo de Copy-on-Write, enquanto outra parte permanece compartilhada. Isso permite que um processo grave dados diretamente sobre o cache de páginas, provocando uma corrupção de memória que pode ser explorada para elevar privilégios.
Como a pedit COW explora o cache de páginas
Um dos aspectos mais perigosos da pedit COW é que ela não modifica o arquivo armazenado em disco.
Em vez disso, o exploit altera apenas a cópia mantida pelo page cache do kernel. Dessa forma, um binário com permissões setuid root, como o tradicional /bin/su, pode ser alterado somente na memória.
Quando outro processo executa esse binário, utiliza justamente a versão presente no cache. Na prática, o código injetado passa a ser executado com privilégios elevados, permitindo que o invasor obtenha acesso root sem alterar permanentemente o sistema de arquivos.
Esse comportamento também dificulta análises forenses, já que verificações convencionais de integridade podem não identificar alterações nos arquivos originais.
A relação entre a pedit COW, Dirty COW e Dirty Pipe
O nome pedit COW faz referência direta à histórica Dirty COW, uma das vulnerabilidades mais conhecidas do Linux.
Apesar de envolverem componentes diferentes, ambas exploram problemas relacionados ao mecanismo Copy-on-Write e ao gerenciamento do cache de páginas.
Outro paralelo inevitável é com a Dirty Pipe, descoberta em 2022, que também permitia modificar dados presentes no cache de páginas sem alterar imediatamente o conteúdo armazenado em disco.
Embora cada vulnerabilidade possua uma implementação distinta, todas demonstram como falhas em mecanismos fundamentais de gerenciamento de memória podem abrir caminho para ataques de escalonamento de privilégios, permitindo que um usuário comum obtenha acesso administrativo ao sistema.
Distribuições Linux afetadas pela CVE-2026-46331
A CVE-2026-46331 afeta versões do Kernel Linux que incorporam o código vulnerável antes da aplicação da correção oficial.
Entre as distribuições potencialmente afetadas estão versões do Ubuntu, Debian e Red Hat Enterprise Linux (RHEL), além de outras distribuições que utilizam kernels contendo o componente vulnerável. O impacto depende da versão do kernel instalada e da disponibilidade dos pacotes de atualização fornecidos por cada mantenedor.
No caso do Ubuntu, Debian e RHEL, administradores devem acompanhar os boletins de segurança oficiais para verificar quando as atualizações correspondentes estiverem disponíveis para cada versão da distribuição.
Outro fator importante envolve os namespaces de usuários não privilegiados.
Diversas provas de conceito utilizam esse recurso para facilitar a exploração da falha. Distribuições que restringem sua utilização ou aplicam mecanismos adicionais de proteção, como o AppArmor, podem dificultar determinados cenários de exploração. No entanto, essas medidas não eliminam a vulnerabilidade e não substituem a instalação da correção oficial.
Como corrigir a falha pedit COW
A correção definitiva consiste em atualizar o Kernel Linux para uma versão que contenha o patch oficial.
Após instalar o novo kernel, é indispensável reiniciar o sistema, pois a versão vulnerável permanece carregada na memória até o próximo boot.
Administradores também devem confirmar qual versão do kernel está realmente em execução utilizando:
uname -rAlém disso, é recomendável acompanhar regularmente os boletins de segurança da distribuição utilizada para verificar quando novos pacotes de correção forem disponibilizados.
Mitigações temporárias para administradores de sistemas
Caso não seja possível instalar imediatamente um kernel corrigido, algumas medidas podem reduzir temporariamente a superfície de ataque.
Se o componente act_pedit estiver disponível como módulo carregável, ele poderá ser removido:
sudo modprobe -r act_peditPara impedir seu carregamento automático:
echo "blacklist act_pedit" | sudo tee /etc/modprobe.d/blacklist-act_pedit.confOutra medida frequentemente adotada em ambientes corporativos é restringir a criação de namespaces de usuários não privilegiados:
sudo sysctl -w kernel.unprivileged_userns_clone=0Para tornar a configuração permanente:
echo "kernel.unprivileged_userns_clone=0" | sudo tee /etc/sysctl.d/99-userns.conf
sudo sysctl --systemEssas ações podem dificultar determinados cenários de exploração, principalmente em servidores multiusuário. No entanto, elas não substituem a instalação do kernel corrigido, que continua sendo a única solução definitiva.
Conclusão e os desafios da segurança em código aberto
A pedit COW (CVE-2026-46331) demonstra que falhas relacionadas ao gerenciamento de memória continuam entre as mais críticas do Kernel Linux. Mesmo componentes consolidados podem apresentar comportamentos inesperados quando pequenas inconsistências afetam mecanismos fundamentais como o Copy-on-Write e o cache de páginas.
Ao mesmo tempo, a rápida disponibilização de correções pelos mantenedores e pelas distribuições reforça a importância do modelo de desenvolvimento em código aberto. Para administradores e equipes de infraestrutura, a principal lição permanece a mesma: acompanhar os boletins de segurança, aplicar atualizações assim que estiverem disponíveis e reiniciar os sistemas após a instalação de um novo kernel.
Se você administra servidores Linux, utilize a CVE-2026-46331 como um lembrete de que vulnerabilidades locais também representam riscos significativos, especialmente em ambientes compartilhados. Manter o kernel atualizado, revisar periodicamente as configurações de segurança e acompanhar os avisos das distribuições continuam sendo práticas essenciais para reduzir a superfície de ataque.
