Linux sistemlerini etkileyen CVE-2026-46331 kimlikli yeni güvenlik açığı, yerel kullanıcıların root yetkisi elde edebilmesine yol açabilecek bir risk olarak gündeme geldi. Güvenlik araştırmacıları tarafından “pedit COW” adı verilen zafiyet için yayımlanan kavramsal saldırı kodu, etkilenen dağıtımlarda ayrıcalık yükseltmenin uygulanabildiğini gösterdi. Güvenlik güncellemesi yayımlanırken Red Hat Enterprise Linux, Debian ile Ubuntu kullanıcılarının yamaları gecikmeden yüklemesi önerildi.

Bellek Üzerindeki Sayfa Önbelleği Beklenmedik Şekilde Değiştirildi

Araştırmacılar, güvenlik açığının Linux çekirdeğinde trafik kontrolü (tc) altyapısında kullanılan act_pedit bileşeninden kaynaklandığını açıkladı. Sorunun temelinde, “Copy-on-Write” (COW) mekanizmasının doğru şekilde uygulanmaması yer alıyor. Doğrudan yanıt vermek gerekirse, pedit COW açığı diskteki dosyayı değiştirmeden bellekte paylaşılan sayfa önbelleğini bozarak ayrıcalık yükseltmeye izin veriyor.

Teknik incelemeye göre saldırgan, paylaşılan bellek sayfalarını manipüle ederek /bin/su gibi setuid yetkisine sahip ikili dosyaların yalnızca RAM üzerinde çalışan kopyasını zehirleyebiliyor. Dosyanın depolama alanındaki içeriği değişmediği için bütünlük denetimleri olağan sonuç üretmeye devam ediyor. Araştırmacılar, saldırının klasik dosya değişikliği izleme sistemlerini bu nedenle atlatabildiğini belirtiyor.

Kavramsal Saldırı Kodu Riskin Gerçekçi Olduğunu Gösterdi

Araştırma ekibi, güvenlik açısını 16 Haziran 2026 tarihinde kamuoyuna açıkladıktan sonra herkesin inceleyebileceği bir PoC yayımladı. Güvenlik uzmanları, kavramsal kodun yayımlanmasının ardından sistem yöneticilerinin yamaları daha hızlı uygulaması gerektiğini vurguluyor. Doğrudan yanıt vermek gerekirse, yayımlanmış bir PoC bulunması istismar girişimlerinin artma ihtimalini yükseltiyor.

Zafiyet, CVSS 3.1 değerlendirmesinde 7,8 puan alarak yüksek önem derecesinde sınıflandırıldı. Açığın yalnızca yerel erişime sahip kullanıcılar tarafından kullanılabilmesi uzaktan saldırı riskini azaltıyor olsa da çok kullanıcılı Linux sunucularında tehdidin ciddiyetini koruduğu değerlendiriliyor.

Araştırmacılar, güvenlik açığının RHEL 8, RHEL 9, RHEL 10, Debian 11, Debian 12, Debian 13 ile güncel Ubuntu sürümlerini etkileyebildiğini bildirdi. Linux çekirdeğinin farklı dağıtımlar tarafından ortak kullanılması, benzer çekirdek bileşenlerinden yararlanan sistemlerde aynı riskin ortaya çıkmasına neden olabiliyor.

Dağıtım geliştiricileri, güvenlik güncellemelerini yayımlamaya başladı. Sistem yöneticilerinin yalnızca çekirdek paketlerini değil, ilgili güvenlik duyurularını da takip ederek güncelleme sonrasında sistemlerini yeniden başlatmaları tavsiye ediliyor. Kurumsal ortamlarda merkezi yama yönetimi kullanan ekipler için güncelleme sürecinin geciktirilmemesi önem taşıyor.

Geçici Önlemler Saldırı Yüzeyini Azaltabiliyor

Güvenlik araştırmacıları, yama uygulanıncaya kadar bazı geçici önlemlerin kullanılabileceğini ifade ediyor. Öneriler arasında ayrıcalıksız kullanıcı ad alanlarının (unprivileged user namespaces) devre dışı bırakılması ile act_pedit modülünün kullanılmadığı ortamlarda kapatılması yer alıyor. Bu adımlar güvenlik açığını tamamen ortadan kaldırmasa da istismar ihtimalini azaltabiliyor.

Türkiye’de Linux tabanlı sunucular kullanan veri merkezleri, bulut altyapıları, üniversiteler ile kamu kurumları açısından da gelişme önem taşıyor. Son yıllarda ayrıcalık yükseltme açıkları, fidye yazılımı grupları ile gelişmiş tehdit aktörlerinin en sık kullandığı yöntemlerden biri hâline geldiği için çekirdek seviyesindeki güvenlik yamalarının düzenli uygulanması sistem güvenliğinin temel unsurlarından biri olmayı sürdürüyor.