一、漏洞简介¶

1.1 漏洞背景¶

Linux 内核 在公开漏洞库中存在编号为 CVE-2021-3493 的安全问题，本条目按 2026-03-22 权威公开源补录；该漏洞评级为 HIGH，CVSS 8.8，并已被 CISA KEV 目录收录。

1.2 漏洞概述（包含 CVE 编号、危害等级、漏洞类型、披露时间等）¶

二、影响范围¶

2.1 受影响的版本¶

• canonical:ubuntu_linux:*, < 18.04
• canonical:ubuntu_linux:*, >= 18.04.1, < 20.04
• canonical:ubuntu_linux:*, < 20.10

2.2 不受影响的版本¶

• NVD / CISA 公开记录未统一列出完整安全版本矩阵，建议以厂商修复公告或最新受支持版本说明为准。

2.3 触发条件（如特定模块、特定配置、特定运行环境等）¶

• 需运行受影响版本并暴露对应攻击面；若厂商未公开更细前提，应结合官方公告进一步核验。

三、漏洞详情与原理解析¶

3.1 漏洞触发机制¶

• NVD 公开描述：The overlayfs implementation in the linux kernel did not properly validate with respect to user namespaces the setting of file capabilities on files in an underlying file system. Due to the combination of unprivileged user namespaces along with a patch carried in the Ubuntu kernel to allow unprivileged overlay mount...
• 若该漏洞已被 CISA KEV 目录收录，则说明其存在公开在野利用背景或已被确认实际利用。

3.2 源码层面的根因分析（结合源码与补丁对比）¶

• 公开漏洞库给出的弱点标识：CWE-270、CWE-863。
• NVD / CISA 通常不会直接提供完整补丁 diff；如需深入到源码根因，建议继续结合厂商修复提交或安全公告比对。

四、漏洞复现（可选）¶

4.1 环境搭建¶

• 权威公开源未提供统一、可直接复用的隔离复现环境，本条目仅补录漏洞情报与版本影响信息。

4.2 PoC 演示与测试过程¶

• 若 CISA KEV 已收录，可视为存在实际利用背景；但 KEV 本身不提供 PoC。
• 若无额外厂商或研究人员披露，建议不要在生产环境复现，优先在隔离测试环境验证修复效果。

五、修复建议与缓解措施¶

5.1 官方版本升级建议¶

• 优先升级到厂商已修复版本或当前仍受支持的最新稳定分支。
• 如公开记录只给出受影响区间而未给出明确安全版本，应以官方公告和发行说明为准。

5.2 临时缓解方案（如修改配置、关闭相关模块、增加访问控制等）¶

• 尽量缩小管理面、调试面和高危接口的暴露范围。
• 为敏感组件增加鉴权、来源限制、反向代理访问控制或 WAF 规则。
• 在补丁窗口前，持续监控异常请求、权限提升和配置变更行为。

六、参考信息 / 参考链接¶

• https://nvd.nist.gov/vuln/detail/CVE-2021-3493
• https://www.cve.org/CVERecord?id=CVE-2021-3493
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• http://packetstormsecurity.com/files/162434/Kernel-Live-Patch-Security-Notice-LSN-0076-1.html
• http://packetstormsecurity.com/files/162866/Ubuntu-OverlayFS-Local-Privilege-Escalation.html
• http://packetstormsecurity.com/files/165151/Ubuntu-Overlayfs-Local-Privilege-Escalation.html
• https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7c03e2cda4a584cadc398e8f6641ca9988a39d52
• https://ubuntu.com/security/notices/USN-4917-1