近日 CVE 官网披露 Linux 内核 net/sched 子系统 act_pedit 模块存在本地提权漏洞CVE-2026-46331该漏洞允许本地低权限用户或容器内攻击者获取 root 权限PoC 及 EXP 均已公开受影响版本包含 OpenCloudOS 8、OpenCloudOS 9接到漏洞情报后OpenCloudOS 社区安全 SIG 与开发团队第一时间完成深入分析已完成紧急修复修复内核版本将在充分验证后通过官方软件源发布建议您本文提供的措施自查并规避风险。一、漏洞详情二、影响范围与自查方式由于漏洞涉及内核 act_pedit 模块需结合内核版本和 user namespace 开启情况进行判断。建议用户检查系统当前OS版本、内核版本及编译选项。2.1受影响版本及内核版本受影响系统版本受影响内核版本OpenCloudOS 8 5.4.241-30.17.29.oc8OpenCloudOS 9 6.6.119-49.27.oc92.2 查看环境中的内核编译选项及配置排查以下选项及配置# 以下选项为 is not set就不受影响否则继续向下排查cat /boot/config-$(uname -r) | grep -w CONFIG_NET_ACT_PEDIT# 以下命令输出为 0 则不受影响sysctl user.max_user_namespaces若以上排查均受影响则需要应用以下正式修复或临时缓解措施。三、修复方案建议受影响用户通过官方软件源更新至对应内核修复版本并在业务变更窗口重启系统使修复后的内核生效。系统版本修复后内核版本官方软件源/离线下载包OpenCloudOS 85.4.241-30.17.29kernelhttps://mirrors.opencloudos.tech/opencloudos/8.10/BaseOS/x86_64/os/Packages/kernel-5.4.241-30.17.29.oc8.x86_64.rpmkernel-corehttps://mirrors.opencloudos.tech/opencloudos/8.10/BaseOS/x86_64/os/Packages/kernel-core-5.4.241-30.17.29.oc8.x86_64.rpmkernel-moduleshttps://mirrors.opencloudos.tech/opencloudos/8.10/BaseOS/x86_64/os/Packages/kernel-modules-5.4.241-30.17.29.oc8.x86_64.rpmOpenCloudOS 96.6.119-49.27.oc9kernelhttps://mirrors.opencloudos.tech/opencloudos/9.6/BaseOS/x86_64/os/Packages/kernel-6.6.119-49.27.oc9.x86_64.rpmkernel-corehttps://mirrors.opencloudos.tech/opencloudos/9.6/BaseOS/x86_64/os/Packages/kernel-core-6.6.119-49.27.oc9.x86_64.rpmkernel-moduleshttps://mirrors.opencloudos.tech/opencloudos/9.6/BaseOS/x86_64/os/Packages/kernel-modules-6.6.119-49.27.oc9.x86_64.rpm修复方式sudo dnf update -y kernel完成内核更新并重启后建议执行以下命令确认当前运行内核已切换至修复版本uname -r确认输出版本不低于对应 OpenCloudOS 修复版本后可视为内核修复已生效。备注如您无法通过在线方式进行内核升级请下载内核及相关依赖的离线包上表中最右列进行手动安装。四、临时缓解措施如您业务环境不允许或不方便通过以上方式进行修复可通过禁止 act_pedit模块的加载对漏洞进行阻断。注意这将导致部分依赖 act_pedit 进行网络数据包修改的功能无法正常工作请业务排查后执行。用 root 用户执行下述命令sh -c printf install act_pedit /bin/false\n /etc/modprobe.d/block-cve-2026-46331.conf; rmmod act_pedit 2/dev/null; true执行完成后检查应用是否成功用 root 用户执行下列命令cat /etc/modprobe.d/block-cve-2026-46331.conf# 应当回显# install act_pedit /bin/falsecat /proc/modules | grep act_pedit# 应当回显空OpenCloudOS 开源社区是由操作系统、云平台、软硬件厂商与个人携手打造中立开放、安全稳定且高性能的 Linux 操作系统及生态。目前已实现从源社区、商业版、到社区稳定版全链路覆盖旨在输出经海量业务验证的企业级稳定操作系统版本为行业解决国产操作系统上下游供应问题促进基础软件可持续发展。
,附JVM参数调优+离线构建配置(内含企业级CI/CD预埋脚本))
