Die Schwachstelle steckt im eventpoll-Subsystem des Linux-Kernels, also in der epoll-Schnittstelle, mit der Programme viele Dateideskriptoren gleichzeitig auf Ereignisse überwachen. Beim Entfernen eines überwachten Eintrags wurde die Verknüpfung zwischen Datei und epoll-Instanz zwar unter einer Sperre gelöst, die zugehörige Datei danach aber innerhalb desselben kritischen Abschnitts weiterverwendet. Läuft parallel das Schließen dieser Datei, kann dieser Vorgang den bereits halb aufgeräumten Zustand beobachten, einen Freigabeschritt überspringen und Speicher freigeben, der anschließend noch beschrieben wird. Das Ergebnis ist eine Use-after-Free: Es wird auf bereits freigegebenen Speicher zugegriffen, und in einer Variante wird sogar ein Freigabeaufruf gegen den falschen Speicher-Cache ausgelöst. Beides ist durch einen Angreifer beeinflussbar und kann zur Speicherbeschädigung führen, die sich zur Ausführung eigenen Codes im Kernel oder zu einem Systemabsturz eskalieren lässt. Die Behebung hält die betroffene Datei über den gesamten Ablauf hinweg fest und schließt so beide Fehlerfälle.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel GhostLock: 15 Jahre alte Linux-Kernel-Lücke ermöglicht Root-Rechte und Container-Ausbruch 08.07.2026
- Artikel Wochenrückblick: Schlag gegen NetNut und lange Liste neuer Schwachstellen 06.07.2026
- Artikel PoC-Code für Linux-Lücke „Bad Epoll“ veröffentlicht 06.07.2026
- Artikel „Bad Epoll“: Linux-Kernel-Lücke erlaubt Root-Rechte und betrifft auch Android 03.07.2026