Тариф успешно добавлен в корзину
В корзину

Что нового в ИБ: ядро Linux снова под ударом, в FFmpeg, Docker, PHP и Squid нашли незакрытые дыры

В этом выпуске: в популярном софте (Firefox, Docker, PHP, nmap, libssh2, nghttp2, 7-Zip, Ghidra, Gitea, c-ares, Floci, Flowise, ImageMagick, Lunar Client, MyBB, objdump, RustDesk и др.) обнаружили 23 незакрытые дыры, в ядре Linux нашли новый путь к root через страничный кэш. А в прокси-сервере Squid — опасный баг: он жил в коде с 1997 года. 

Ядро Linux снова отдаёт root через перезапись страничного кэша

Раскрыты две новые уязвимости в ядре Linux, позволяющие непривилегированному пользователю получить права root. Механизм действия такой же, как и у Copy Fail — перезапись данных в страничном кэше. Для обеих уязвимостей есть рабочие эксплоиты.

PEdit-CoW (CVE-2026-46331) — ошибка применения copy-on-write в коде изменения заголовков пакетов act_pedit из планировщика сетевых пакетов net/sched. Проверка допустимой области для записи не учитывала, что смещение на редактируемые поля может измениться во время операции, — в итоге данные пишутся за пределы буфера и перезаписывают страничный кэш по выбранному смещению. 

Проблема проявляется начиная с ядра 5.18 и устранена в выпусках 7.1, 7.0.13, 6.18.36 и 6.12.94. Эксплуатация заявлена в RHEL 8/9/10, Debian 11/12, openSUSE Leap 15.6, SUSE Linux 15-SP7/16.0 и Ubuntu 18.04—25.10 (в Ubuntu 26.4 создание user namespace заблокировано по умолчанию).

DirtyClone (CVE-2026-43503) — обходной путь эксплуатации уязвимости Dirty Frag в модуле xfrm-ESP, который ускоряет шифрование в IPsec по протоколу ESP. Для клонирования структуры skb эксплоит использует TEE-расширение к netfilter (модуль xt_TEE). Уязвимость устранена в выпусках 7.1, 7.0.10, 5.10.257, 5.15.208, 6.1.174, 6.6.141, 6.12.91 и 6.18.33; затрагивает Debian, Ubuntu, Fedora, RHEL и SUSE.

Обе уязвимости требуют прав CAP_NET_ADMIN, которые непривилегированный пользователь получает через создание пространств имён идентификаторов (user namespace). В Ubuntu эта операция по умолчанию запрещена, но открывается через kernel.apparmor_restrict_unprivileged_userns=0 или профили AppArmor; в остальных дистрибутивах доступность зависит от kernel.unprivileged_userns_clone. Сама атака сводится к тому, что в страничном кэше оседает файл /bin/su с suid-флагом root, после чего часть его кода подменяется кодом запуска /bin/sh — и при следующем запуске в память загружается уже изменённая копия, а не оригинал с накопителя.

Подробнее

Что делать: обновить ядро до исправленных версий. Как временный обходной путь для PEdit-CoW можно заблокировать загрузку модуля act_pedit (перестанут работать правила ограничения трафика и перезапись заголовков через tc pedit):

echo "blacklist act_pedit" > /etc/modprobe.d/blacklist-act-pedit.conf
rmmod act_pedit

Для DirtyClone в качестве обходного пути можно запретить загрузку модулей esp4 и esp6.

Также наши системные администраторы подготовили решение для автоматической диагностики и исправления уязвимостей. Нужно скачать приложение по ссылке (исходный код).  

Далее выполнить: 

chmod +x cve_2026_frag_family_fix

Затем запустить: 

./cve_2026_frag_family_fix

Решение регулярно обновляется, доступен многократный перезапуск.  

Анонимный исследователь опубликовал 23 неисправленных эксплоита в популярных проектах

В открытый доступ попали прототипы 23 эксплоитов для уязвимостей в FFmpeg, VLC, Firefox, Docker, PHP, nmap, libssh2, nghttp2, 7-Zip, Ghidra, Gitea, c-ares, Floci, Flowise, ImageMagick, Lunar Client, MyBB, objdump, RustDesk и других. Уязвимости выявили фаззингом с привлечением AI-модели GPT-5.5-3-Codex-Spark. Сами эксплоиты написаны вручную, а сопроводительная документация сгенерирована нейросетью.

На момент публикации разработчиков уязвимых проектов не уведомили, и CVE-идентификаторы не назначены. Качество находок разное: часть выглядит не очень опасно (например, в Ghidra), но есть и серьёзные дыры. Среди них:

  • libssh2 — два целочисленных переполнения в парсере открытых ключей. Позволяют записать данные за пределы буфера и выполнить код атакующего, когда клиент обращается к вредоносному SSH-серверу — ещё до аутентификации.
  • c-ares — use-after-free в DNS-библиотеке. Запускает код злоумышленника при обращении к подконтрольному ему DNS-серверу через вызов ares_getaddrinfo().
  • FFmpeg — переполнение буфера при декодировании специально оформленных видеопотоков в формате RASC, ведёт к запуску кода атакующего.
  • Floci — обход IAM-ограничений и удалённое выполнение кода в эмуляторе облачных окружений через HTTP-запрос к REST API при использовании API Gateway и непривилегированном доступе к API.
  • Docker — состояние гонки, позволяющее записать файл за пределы целевого каталога при копировании данных из контейнера на хост командой docker cp.
  • PHP — Type Confusion при обработке HTTP-ответа от вредоносного SOAP-сервера, что даёт выполнение кода.

Что делать: патчей пока нет — это 0-day, о которых разработчики узнали уже из публикации. До выхода исправлений стоит ограничить обращение уязвимых приложений к недоверенным серверам и файлам и следить за обновлениями затронутых проектов.

Подробнее

Squidbleed: в Squid нашли уязвимость, которая существовала с 1997 года

В кеширующем прокси-сервере Squid нашли уязвимость, которая жила в коде с 1997 года и позволяла похищать незашифрованные HTTP-запросы других пользователей — вместе с заголовками авторизации, сессионными токенами и ключами API. Баг получил идентификатор CVE-2026-47729 и 6,5 балла по CVSS, а название Squidbleed — по аналогии с Heartbleed: в обоих случаях чтение за границами буфера приводит к утечке содержимого памяти. Нашли проблему исследователи Calif.io с помощью Claude Mythos Preview.

Ошибка скрывалась в парсере списков директорий FTP. Ещё в 1997 году разработчики добавили обработку листингов старых серверов NetWare: те дополняли строки лишними пробелами. Цикл, который пропускал эти пробелы, не останавливался на завершающем нулевом байте. Атакующий мог настроить подконтрольный FTP-сервер так, чтобы строка листинга обрывалась сразу после временной метки, без имени файла. Указатель выходил за границы буфера, Squid принимал найденные там данные за имя файла, копировал их и возвращал клиенту. Если в буфере до этого лежал HTTP-запрос другого пользователя, короткий ответ FTP-сервера перезаписывал лишь его начало, а остальное попадало атакующему — так исследователи извлекли заголовок Authorization и получили возможность выдавать себя за другого пользователя.

Для атаки нужно иметь доступ к прокси и вынудить его подключиться к подконтрольному FTP-серверу через порт 21, поэтому разработчики Squid классифицируют уязвимость как угрозу со стороны доверенного клиента — хотя поддержка FTP включена по умолчанию. Обычный HTTPS-трафик через CONNECT-туннель атака не затрагивает: к его содержимому Squid доступа не имеет. Под удар попадают незашифрованные HTTP-запросы и HTTPS-трафик в конфигурациях, где Squid расшифровывает его для инспекции. Публичный PoC-эксплоит уже доступен на GitHub.

Что делать: обновиться, но с версией исправления вышла путаница. Сначала разработчики сообщили, что устранили проблему в Squid 7.6, потом — что патч вошёл в 7.7. А специалисты Debian считают, что он всё же есть в 7.6. Поэтому стоит проверить исправление в файле FtpGateway.cc или уточнить статус бэкпорта для своего дистрибутива. Самый надёжный вариант — полностью отключить FTP, если он не используется.

Подробнее

Возможно, вам будет интересно

Назад к списку
Скидка новым клиентам
Закажите сервер сегодня и получите скидку на первый месяц аренды!
Наш сайт использует cookies Вы можете отключить их в настройках браузера, но это может ограничить функционал. Оставаясь на сайте, вы соглашаетесь с использованием cookies.