好消息是，開發人員正在密切關注Linux的核心代碼，尋找可能的安全漏洞。壞消息是他們找到了。

至少最好的消息是他們一發現問題就會馬上解決。

最新的三個內核漏洞分別是CVE-2016-8655、CVE-2016-6480和CVE-2016-6828。其中，CVE-2016-8655是最差的。它允許本地用戶(包括具有虛擬和基于云的Linux實例的遠程用戶)崩潰系統或以根用戶身份運行任意代碼。

簡而言之，它是骯臟的。

黑客和安全研究員Philip Pettersson發現了這個漏洞。有了它，用戶可以在Linux內核的packet_set_ring函數中創建一個競爭條件。當系統試圖同時執行兩個或多個操作，而不是在一個操作成功完成另一個操作之后再執行另一個操作時，就會發生競態條件。

要利用這一點，本地用戶必須首先能夠在網絡名稱空間中使用CAP_NET_RAW創建AF_PACKET套接字。在許多Linux發行版(但不是所有發行版)上，攻擊者可以通過使用無特權的名稱空間賦予自己這種能力。Pettersson認為，“考慮到所有Linux發行版的安全漏洞歷史”，沒有特權的名稱空間“應該在默認情況下關閉”，這是有道理的。

可能受到攻擊的操作系統包括最新版本的Debian、Fedora、Red Hat Enterprise Linux (RHEL) 7和Ubuntu。

Pettersson已經演示了他可以使用這個漏洞在Ubuntu 16.04上創建一個根shell，即使已經部署了管理模式執行保護(SMEP)和管理模式訪問保護(SMAP)來保護系統。

第二個安全性問題是CVE-2016-6480，它也涉及一個競爭條件，但是沒有那么嚴重。在這個例子中，Adaptec AAC RAID控制器驅動程序可以被本地攻擊者用來破壞系統。

最后，CVE-2016-6828可以用來破解Linux內核的TCP重傳隊列處理代碼。這可以用來崩潰脆弱的服務器或執行任意代碼。然而，它比Pettersson的發現更難使用，所以沒有那么危險。

盡管如此，您應該盡快修補您的Linux系統，以避免陷入麻煩。補丁現在可以在所有主要的Linux發行版上使用。