Дослідники з безпеки розкрили небезпечну вразливість у Linux Kernel, яка існувала майже дев’ять років і дозволяє локальному користувачу отримати повний root-доступ до системи. Проблема також відкриває шлях до виходу з контейнерів Docker та інших ізольованих середовищ.
Дослідники з кібербезпеки розкрили подробиці вразливості в ядрі Linux, яка залишалася непоміченою протягом дев’яти років.
Уразливість, що відстежується як CVE-2026-46333 (оцінка CVSS: 5.5), являє собою випадок неправильного керування привілеями, яке може дозволити непривілейованому локальному користувачеві розкривати конфіденційні файли та виконувати довільні команди від імені root у стандартних інсталяціях кількох основних дистрибутивів, таких як Debian, Fedora та Ubuntu. Вона також має кодову назву ssh-keysign-pwn.
За словами Qualys, яка виявила недолік, проблема корениться у функції ядра __ptrace_may_access() та була представлена у листопаді 2016 року.
«Цей примітив надійний і перетворює будь-яку локальну оболонку на шлях до root-доступу або до конфіденційних облікових даних», – сказав Саїд Аббасі, старший менеджер відділу дослідження загроз у Qualys .
Успішне використання цієї вразливості може дозволити локальному зловмиснику розкрити /etc/shadow та розмістити закриті ключі в /etc/ssh/*_key, а також виконувати довільні команди від імені root за допомогою чотирьох різних експлойтів, спрямованих на chage, ssh-keysign, pkexec та accounts-daemon.
Розкриття інформації з’явилося після того, як минулого тижня, невдовзі після появи публічного коміту ядра, було випущено експлойт для підтвердження концепції (PoC) цієї вразливості . CVE-2026-46333 – це остання вразливість безпеки, виявлена в ядрі Linux після Copy Fail, Dirty Frag та Fragnesia за останній місяць.
Рекомендується встановити останнє оновлення ядра, випущене дистрибутивами Linux. Якщо оновлення неможливо виконати негайно, тимчасові способи вирішення проблеми включають підвищення значення “kernel.yama.ptrace_scope” до 2.
«На хостах, які дозволили ненадійним локальним користувачам доступ протягом періоду дії, слід розглядати ключі хоста SSH та локально кешовані облікові дані як потенційно розкриті», – сказав Qualys. «Ротуйте ключі хоста та перегляньте будь-які адміністративні матеріали, що зберігалися в пам’яті процесів set-uid».
Розробка відбулася після випуску PoC (доказу поєднання) для локальної уразливості, що під назвою PinTheft , що дозволяє локальним зловмисникам отримувати root-права в системах Arch Linux. Для експлойту потрібно, щоб на цільовій системі був завантажений модуль Reliable Datagram Sockets (RDS), була ввімкнена функція io_ring, придатний для читання двійковий файл SUID-root та підтримка x86_64 для включеного корисного навантаження.
«PinTheft – це експлойт для локального підвищення привілеїв Linux для подвійного звільнення RDS від нульової копії, який можна перетворити на перезапис кешу сторінок через io_uring фіксованих буферів», – заявили Зеллік та команда безпеки V12 .
Помилка знаходилася в шляху надсилання zerocopy RDS. rds_message_zcopy_from_user() закріплює сторінки користувача по одній. Якщо на наступній сторінці виникає помилка, шлях помилки видаляє вже закріплені сторінки, а пізніше очищення повідомлень RDS знову видаляє їх, оскільки записи розкиданого списку та кількість записів залишаються активними після очищення сповіщувача zcopy. Кожна невдала надсилання zerocopy може вкрасти одне посилання з першої сторінки.
