الأمن السيبراني

Bad Epoll (CVE-2026-46242): ثغرة الجذر في نواة لينكس وما تعنيه لخوادمك

‏Bad Epoll (CVE-2026-46242) ثغرة لتصعيد الصلاحيات في نواة لينكس تمنح أي مستخدم محلي صلاحيات الجذر على النواة 6.4 وما بعدها. إليك من هم المتأثرون، وكيف تتحقق من إصدارك، وكيف تُرقّع خوادمك.

وقاص احمد وسیر
وقاص احمد وسیر 4 يوليو 2026 6 دقائق قراءة
Bad Epoll (CVE-2026-46242): ثغرة الجذر في نواة لينكس وما تعنيه لخوادمك

ثغرة في نواة لينكس تم الكشف عنها حديثًا تُسمّى Bad Epoll (CVE-2026-46242) تتيح لأي مستخدم عادي على الجهاز أن يصعد إلى صلاحيات الجذر الكاملة، وهي تؤثر على خوادم لينكس وأجهزة سطح المكتب وأجهزة أندرويد التي تعمل بالنواة 6.4 أو أحدث. وقد نُشرت في 3 يوليو 2026 بعد أن قدّم الباحث Jaeyoung Chung ثغرة عاملة إلى برنامج kernelCTF من Google. يوجد إصلاح بالفعل في النواة الرئيسية (mainline)، لكن معظم التوزيعات لا تزال بحاجة إلى إصدار نقل خلفي (backport)، لذا فإن المهمة العملية الآن هي التحقق من إصدار نواتك وتطبيق تحديث الأمان الخاص بتوزيعتك فور صدوره.

هناك خبر سار في البداية: حتى وقت كتابة هذه السطور، لا تظهر الثغرة في كتالوج الثغرات المُستغَلّة المعروفة من CISA، والثغرة العاملة الوحيدة هي إثبات المفهوم الصادر عن المسابقة. وهذا يمنحك نافذة زمنية للترقيع قبل أن تظهر في سلاسل الهجمات الفعلية.

ما هي Bad Epoll ولماذا تمنح صلاحيات الجذر؟

‏Bad Epoll هي ثغرة استخدام بعد التحرير (use-after-free) ناتجة عن حالة تسابق (race condition) في نظام epoll الفرعي داخل النواة، وهو الآلية التي يستخدمها لينكس لمراقبة أعداد كبيرة من الملفات ومقابس الشبكة في آنٍ واحد. يحاول جزآن من النواة تنظيف الكائن الداخلي نفسه في الوقت ذاته: فأحد الخيوط يحرّر الذاكرة بينما لا يزال خيط آخر يكتب فيها. هذا التداخل يتيح للمهاجم إفساد ذاكرة النواة بطريقة مُتحكَّم بها وإعادة كتابة بيانات اعتماد عمليته الخاصة إلى أن تعامله النواة كجذر.

ما يجعل الثغرة لافتة هو مدى ضيق الفرصة. إن نافذة التسابق القابلة للاستغلال بعرض ست تعليمات آلية تقريبًا، وهي فترة زمنية من الصغر بحيث يصعب إصابتها حتى وأنت قادر على قراءة الشيفرة المعرّضة. هذه الصعوبة هي سبب عدم اكتشاف أحد لها لأكثر من عامين، وأيضًا سبب أن تكون ثغرة موثوقة مبهرة بما يكفي لتستحق جائزة kernelCTF. لكن ذلك لا يجعلك في أمان: فبمجرد أن يكتب أحدهم الثغرة، تكفّ نافذة التعليمات الست عن أن تكون حمايتك.

أي إصدارات النواة متأثرة؟

أُدخلت الثغرة عبر تغيير في شيفرة epoll في 2023 وصدرت مع لينكس 6.4. وكل ما هو بين 6.4 والسطر الحالي دون الإصلاح يُعدّ معرّضًا؛ أما النوى الأقدم المبنية على سلسلة 6.1 فلم تحتوِ قط على الشيفرة المسبِّبة للعطل وهي غير متأثرة. الإصلاح هو إيداع النواة الرئيسية a6dc643c6931، الذي وصل في أبريل 2026، وكل توزيعة تنقله خلفيًا وفق جدولها الخاص.

سطر النواةمتأثر؟ما العمل
6.1 LTS وما قبلهلاالثغرة أقدم من هذه النوى؛ لا إجراء لهذه الـ CVE
6.4 – الحالي (غير مُرقّع)نعمحدِّث إلى النسخة المُرقّعة من توزيعتك ثم أعد التشغيل
أي بناء يحتوي على الإيداع a6dc643c6931لامُصلَح بالفعل؛ تأكّد وامضِ قدمًا
أندرويد على نوى 6.4+نعمانتظر تحديث الأمان من الجهاز أو المُصنّع

لاحظ أن أندرويد مشمول حيث يأتي الجهاز بنواة 6.4 أو أحدث؛ أما العتاد الذي لا يزال على 6.1، مثل بعض الهواتف الحالية، فغير متأثر. على الخوادم، يتبع الخطرُ النواةَ لا اسم التوزيعة، لذا فإن توزيعة LTS «مستقرة» قد تظل تشغّل نواة 6.x متأثرة.

كيف تتحقق من خوادمك وترقّعها بنفسك

ابدأ بقراءة إصدار النواة قيد التشغيل، ثم قارنه بنشرة التنبيه الخاصة بتوزيعتك. على أي جهاز لينكس:

uname -r        # مثال: 6.8.0-40-generic — الإصدار 6.4+ يعني التحقق من الترقيع
apt list --upgradable 2>/dev/null | grep -i linux   # Debian/Ubuntu
dnf updateinfo list security | grep -i kernel        # عائلة Fedora/RHEL

ثم طبِّق تحديث الأمان وأعد التشغيل إلى النواة الجديدة. لا تفعل حزمة النواة المُرقّعة شيئًا إلى أن تعيد التشغيل عليها فعليًا، وهذه هي الخطوة التي يتجاوزها الناس. وإذا لم يكن بوسعك تحمّل توقف فوري، فيمكن لخدمة الترقيع الحي (kernel livepatch على Ubuntu، وkpatch على RHEL) أن تسدّ الثغرة على النوى المدعومة دون إعادة تشغيل، مما يكسبك وقتًا حتى نافذة صيانة. راقب قناة الأمان الخاصة بتوزيعتك — نشرات USN من Ubuntu، أو متتبّع أمان Debian، أو موجز تنبيهات مُصنّعك — بحثًا عن مدخل CVE-2026-46242، إذ يصل إصلاح النواة الرئيسية والنقل الخلفي المُحزَّم في أيام مختلفة.

لماذا تظل ثغرة «محلية فقط» مهمة لخادم VPS واحد

من المغري الاستهانة بثغرة تصعيد صلاحيات محلية: فالمهاجم يحتاج أن يكون على الجهاز أصلًا، ومن ثمّ إن لم يكن لدى أحد صدفة (shell) فلا شيء لتصعيده. لكن هذا المنطق ينهار في الواقع العملي. فالجذر المحلي هو المرحلة الثانية في معظم الاختراقات الحقيقية. إن تطبيق ويب فيه ثغرة تنفيذ شيفرة عن بُعد، أو مفتاح نشر مُسرَّب، أو اعتمادية مسمومة، أو حاوية مخترَقة، كلها تمنح المهاجم بعضًا من تنفيذ الشيفرة كمستخدم غير مميّز. و‏Bad Epoll هي ما يحوّل موطئ القدم ذاك إلى سيطرة كاملة على المضيف، بما في ذلك كل تطبيق وقاعدة بيانات أخرى على الجهاز نفسه.

هذا بالضبط هو شكل الخطر على خادم VPS تُديره بنفسك، حيث يتشارك تطبيقك وقاعدة بياناتك ومستوى التحكم لديك نواةً واحدة عادةً. إذا كنت تدير خادمك الخاص، فهذه الثغرة تنتمي إلى قائمة التحصين ذاتها مع مفاتيح SSH وجدار الحماية — الأساسيات التي نستعرضها في دليلنا لاستضافة تطبيقاتك ذاتيًا على خادم VPS. وهي أيضًا تذكير بأن دفاعات المحيط وحدها لا تكفي؛ فالضوابط المتعددة الطبقات مثل نموذج انعدام الثقة (zero-trust) تفترض أن اختراقًا سيقع وتحدّ مما يمكن أن يصل إليه حساب واحد مخترَق.

هل يجري استغلال Bad Epoll في البرية؟

ليس بعد. لا توجد أي إشارة إلى استخدام فعلي، والثغرة غائبة عن قائمة KEV من CISA، والثغرة العامة الوحيدة هي ما قُدِّم إلى kernelCTF. لكن عبارة «لا استغلال بعد» جدولٌ زمني لا حُكم نهائي. فثغرات تصعيد الصلاحيات المحلية (LPE) في النواة تُسلَّح روتينيًا بمجرد أن يعيد الباحثون أو المهاجمون بناء التقنية، والتفاصيل صارت الآن مكشوفة للعلن. الافتراض الآمن هو أن ثغرة عاملة ستنتشر، لذا تعامل مع الترقيع باعتباره أمرًا حسّاسًا للوقت لا اختياريًا. وهذا النمط — ثغرة سريعة الحركة يضطر المدافعون للسباق معها — أصبح هو القاعدة مع أتمتة المهاجمين مزيدًا من العمل، وهو اتجاه تناولناه في أمن وكلاء الذكاء الاصطناعي وأزمة حقن الأوامر.

الأسئلة الشائعة

هل أحتاج إلى إعادة التشغيل بعد ترقيع Bad Epoll؟

نعم، ما لم تستخدم الترقيع الحي للنواة. إن تثبيت حزمة النواة المُحدَّثة يُهيّئ الإصلاح، لكن الشيفرة المعرّضة تظل تعمل إلى أن تُقلِع إلى النواة الجديدة. ويمكن لـ Livepatch (على Ubuntu) أو kpatch (على RHEL) تطبيق الإصلاح على نواة قيد التشغيل في الإصدارات المدعومة إذا لم يكن بوسعك إعادة التشغيل فورًا.

هل خادمي متأثر إذا كان يشغّل توزيعة LTS؟

ربما. المهم هو إصدار النواة لا تسويق التوزيعة. فقد تظل إصدارة LTS تأتي بنواة 6.4 أو أحدث، وهو النطاق المتأثر. شغّل uname -r وتحقق من نشرة تنبيه توزيعتك بشأن CVE-2026-46242.

هل هواتف أندرويد معرّضة للخطر؟

فقط تلك التي تعمل بنواة 6.4 أو أحدث. أما الأجهزة التي لا تزال على نوى مبنية على 6.1، بما فيها بعض الهواتف الحالية، فغير متأثرة. وحيث يقع الجهاز ضمن النطاق، انتظر تحديث الأمان من المُصنّع وثبّته.

ما مدى خطورة هذا مقارنةً بثغرة عن بُعد؟

بمفردها، تحتاج الثغرة المحلية إلى مهاجم يملك موطئ قدم بالفعل، لذا فهي تُصنَّف دون ثغرة تنفيذ الشيفرة عن بُعد. لكنها عمليًا الخطوة التالية المعتادة بعد اختراق أولي، ولهذا تُعدّ ثغرات الجذر المحلية مطلوبة، ولهذا يظل الترقيع السريع مهمًا.

المصادر

وقاص احمد وسیر

وقاص احمد وسیر

وقاص احمد وسیر مطوّر ومهندس أتمتة بخبرة تزيد على 8 سنوات في بناء أنظمة إنتاجية يستخدمها أكثر من 100 ألف شخص. يبني تطبيقات SaaS متعددة المستأجرين، وأتمتة بالذكاء الاصطناعي (n8n، تدفقات LLM، بوتات واتساب)، وبنية استضافة (WHM/cPanel، CloudLinux) — وهو صانع WaSphere وFlowMaticX وعلامة الاستضافة WaseerHost. أنجز أكثر من 100 مشروع لشركات صغيرة ومتوسطة ووكالات وشركات ناشئة ممولة.

ذات صلة

المزيد في الأمن السيبراني

عرض الكل

النقاش · 0

كن لطيفًا. التعليقات علنية.

    النشرة البريدية · إصدار الاثنين

    ملخّص الاثنين.

    بريد واحد كل صباح اثنين. الأسبوع المقبل في الذكاء الاصطناعي والشركات الناشئة والاستضافة وأدوات المطوّرين — بلا حشو، وبلا إعلانات مموّهة.

    مجاني. يمكنك إلغاء الاشتراك بنقرة واحدة.