Кажется, в мае нам придется быть более бдительными, чем обычно. Только мы обсудили новости про уязвимость Copy Fail, как подъехали еще две критические уязвимости, открывающие права суперпользователя. Эксплоиты уже в открытом доступе. Рассказываем подробности и рекомендуем не игнорировать выход обновлений.
Dirty Frag (Copy Fail 2): новая уязвимость в ядре Linux позволяет получить root через страничный кэш
После недавней уязвимости Copy Fail, о которой мы писали ранее, исследователи нашли ещё две похожие проблемы в ядре Linux. Новому семейству уязвимостей присвоено кодовое имя Dirty Frag (также встречается название Copy Fail 2).
Что за уязвимость
Dirty Frag объединяет две разные ошибки:
- первая — в модуле xfrm-ESP (используется для ускорения шифрования IPsec), идентификатор CVE-2026-43284.
- вторая — в драйвере RxRPC (RPC-протокол поверх UDP), идентификатор CVE-2026-43500.
Обе позволяют непривилегированному локальному пользователю получить права root.
Механизм тот же, что и в Copy Fail — только проблема в других модулях ядра. Через функцию splice() злоумышленник перезаписывает 4 байта в страничном кэше — временном хранилище данных из файлов. После этого можно подменить содержимое любого файла, который система держит в кэше. Например, исполняемый файл /usr/bin/su с флагом suid root. Когда пользователь затем запустит утилиту su, выполнится уже изменённый вредоносный код — с правами root.
Кого затронуло
Уязвимость в xfrm-ESP присутствует в ядре Linux с января 2017 года, в RxRPC — с июня 2023 года. Эксплоит, подготовленный исследователем, работает во всех крупных дистрибутивах, комбинируя обе уязвимости. Подтверждена работа:
- в Ubuntu 24.04.4 с ядром 6.17.0-23,
- RHEL 10.1 с ядром 6.12.0-124.49.1,
- openSUSE Tumbleweed с ядром 7.0.2-1,
- CentOS Stream 10 c ядром 6.12.0-224,
- AlmaLinux 10 с ядром 6.12.0-124.52.3
- и Fedora 44 с ядром 6.19.14-300.
Что делать
Обновления с исправлениями пока опубликованы не для всех дистрибутивов, но патчи уже доступны. В качестве временной защиты можно заблокировать загрузку уязвимых модулей ядра:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"Уже доступны исправления в ядрах:
- 7.0.5,
- 6.18.28, 6.12.87, 6.6.138, 6.1.172,
- 5.15.206, 5.10.255.
На момент публикации исправлена только xfrm-ESP. RxRPC исправлена в ядрах 7.0.6 и 6.18.29. Следить за выходом обновлений можно здесь: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA.
Эксплоит, работающий во всех актуальных дистрибутивах Linux, уже выложен в открытый доступ, поэтому как только выйдут обновления для вашего дистрибутива — рекомендуем установить незамедлительно.
Исправленные версии ядра
Debian
ОС | Ядро |
|---|---|
| Debian 10 (buster) | исправление безопасности (backport) пока недоступно |
| Debian 11 (bullseye) | 5.10.0-42-amd64 и выше |
| Debian 12 (bookworm) | 6.1.0-47-amd64 и выше |
| Debian 13 (trixie) | 6.12.86+deb13-amd64 и выше |
Команда исправления для Debian:
apt update && apt install --only-upgrade linux-image-amd64 linux-headers-amd64 -y Ubuntu
ОС | Ядро |
|---|---|
| Ubuntu 18.04 (bionic) | исправление безопасности (backport) пока недоступно |
| Ubuntu 20.04 (focal) | исправление безопасности (backport) пока недоступно |
| Ubuntu 22.04 (jammy) | исправление безопасности пока недоступно |
| Ubuntu 24.04 (noble) | 6.8.0-124-generic и выше |
| Ubuntu 25.04 (plucky) | исправление безопасности пока недоступно |
| Ubuntu 26.04 (resolute) | 7.0.0-22-generic и выше |
Команда исправления для Ubuntu:
apt update && apt install --only-upgrade linux-image-generic linux-headers-generic -y CentOS
ОС | Ядро |
|---|---|
| CentOS Stream 8 | исправление безопасности (backport) пока недоступно |
| CentOS Stream 9 | 5.14.0-708.el9.x86_64 |
| CentOS Stream 10 | 6.12.0-231.el10.x86_64 |
Команды исправления для CentOS:
dnf clean metadata && dnf upgrade 'kernel*' -yAlmaLinux
ОС | Ядро |
|---|---|
| AlmaLinux 8.10 | 4.18.0-553.123.2.el8_10.x86_64 и выше |
| AlmaLinux 9.7 | 5.14.0-611.54.3.el9_7.x86_64 и выше |
| AlmaLinux 10.1 | 6.12.0-124.55.3.el10_1.x86_64 и выше |
Команда исправления для AlmaLinux:
dnf clean metadata && dnf upgrade 'kernel*' -yRocky Linux
ОС | Ядро |
|---|---|
| Rocky Linux 8.10 | 4.18.0-553.124.1.el8_10.x86_64 и выше |
| Rocky Linux 9.7 | 5.14.0-611.55.1.el9_7.x86_64 и выше |
| Rocky Linux 10.1 | 6.12.0-124.56.1.el10_1.x86_64 и выше |
Команда исправления для Rocky Linux:
dnf clean metadata && dnf upgrade 'kernel*' -yFedora
ОС | Ядро |
|---|---|
| Fedora 40 | исправление безопасности (backport) пока недоступно |
| Fedora 41 | исправление безопасности (backport) пока недоступно |
| Fedora 42 | 6.19.14-101.fc42.x86_64 и выше |
| Fedora 43 | 7.0.4-100.fc43.x86_64 и выше |
| Fedora 44 | 7.0.4-200.fc44.x86_64 и выше |
Команда исправления для Fedora:
dnf clean metadata && dnf upgrade 'kernel*' -yOracle Linux
ОС | Ядро |
|---|---|
| Oracle Linux 8.10 | 5.15.0-319.201.4.6.el8uek.x86_64 и выше |
| Oracle Linux 9.7 | 6.12.0-201.74.2.3.el9uek.x86_64 и выше |
| Oracle Linux 10.1 | 6.12.0-201.74.2.3.el10uek.x86_64 и выше |
Команды исправления для Oracle Linux:
dnf clean metadata && dnf upgrade 'kernel*' -y
Критическая уязвимость в execve во FreeBSD: root за 6 секунд
Во FreeBSD выявлена уязвимость CVE-2026-7270, которая позволяет непривилегированному пользователю получить root-доступ. Проблема затрагивает все выпуски FreeBSD начиная с 2013 года. В открытом доступе размещён эксплоит, работа которого проверена на системах с FreeBSD 11.0 по 14.4.
Как работает
Ошибка в системном вызове execve при обработке строки #!/bin/sh приводит к переполнению буфера. Атакующий может перезаписать данные привилегированного процесса sshd-session и подставить переменную окружения LD_PRELOAD с вредоносной библиотекой. Библиотека создаёт файл с suid root — запустив его, злоумышленник получает права root.
Вероятность успеха одной попытки — 0,6%, но благодаря повторению атака занимает около 6 секунд на 4-ядерной системе.
Как защититься
Уязвимость устранена в обновлениях:
- FreeBSD 15.0-RELEASE-p7
- FreeBSD 14.4-RELEASE-p3
- FreeBSD 14.3-RELEASE-p12
- FreeBSD 13.5-RELEASE-p13
Для старых веток доступен патч.
Другие уязвимости во FreeBSD
Вместе с CVE-2026-7270 исправлены ещё несколько проблем:
- CVE-2026-42512 (dhclient) — удалённая уязвимость: специальный DHCP-пакет может выполнить код
- CVE-2026-35547 / 39457 (libnv) — переполнение буфера при обработке IPC-сообщений
- CVE-2026-7164 (pf) — переполнение стека через SCTP-пакеты
- CVE-2026-42511 (dhclient) — подстановка директив от DHCP-сервера → выполнение команд с root
- CVE-2026-6386 (pmap_pkru_update_range()) — ошибка с большими страницами памяти
- CVE-2026-5398 (TIOCNOTTY) — обращение к освобождённой памяти → получение root
FreeBSD получила критический патч. Рекомендуется немедленно обновить систему.
Возможно, вам будет интересно
