Өзекте Linux Соңғы екі аптадағы бесінші (1, 2, 3) маңызды осалдық анықталды, бұл пайдаланушыға жүйедегі құқықтарын кеңейтуге мүмкіндік береді. Екі жұмыс істейтін эксплойт жарияланды: sshkeysign_pwn артықшылығы жоқ пайдаланушыға /etc/ssh/ssh_host_*_key жеке хост SSH кілттерінің мазмұнын оқуға мүмкіндік береді, ал chage_pwn артықшылығы жоқ пайдаланушыға пайдаланушы құпия сөзінің хэштерін қамтитын /etc/shadow файлының мазмұнын оқуға мүмкіндік береді.
Осалдықты жариялау үшін арналмаған, бірақ қауіпсіздік зерттеушісі ұсынылған ядро патчы негізінде осалдықты анықтай алды, бұл тек түбірлік пайдаланушыға ғана қолжетімді файлдарды, мысалы, /etc/shadow файлын оқуға мүмкіндік береді. Ядро өзгерісі ptrace_may_access() функциясындағы қатынау деңгейлерін анықтаған кезде ptrace ішіндегі get_dumpable() функциясын пайдалану логикасын реттеді.
Осалдық suid түбірлік процесінен файлға кіргеннен кейін pidfd файл дескрипторына артықшылықсыз кіруге мүмкіндік беретін жарыс шартынан туындайды. Файлды ашу және suid бағдарламасындағы артықшылықтарды қалпына келтіру арасында (мысалы, setreuid функциясы арқылы) suid түбірлік бағдарламасын іске қосатын қолданба suid бағдарламасы ашқан файлға pidfd дескрипторы арқылы кіре алатын жағдай туындайды, тіпті файлдың рұқсаттары рұқсат етпесе де.
Эксплуатациялық терезе «__ptrace_may_access()» функциясы exit_mm() функциясынан кейін, бірақ exit_files() функциясы шақырылғанға дейін task->mm өрісі NULL мәніне орнатылған болса, файлға кіруді тексеруді өткізіп жібергендіктен пайда болады. Қазіргі уақытта pidfd_getfd жүйелік шақыруы шақыру процесінің пайдаланушы идентификаторы (uid) файлға кіруге рұқсат етілген пайдаланушы идентификаторына сәйкес келеді деп есептейді. Айта кету керек, бұл мәселе бұрын 2020 жылы шешілген, бірақ әлі күнге дейін шешілмеген.
/etc/shadow файлының мазмұнын алатын эксплойтта шабуыл /usr/bin/chage қолданбасын fork+execl арқылы suid root жалаушасымен қайта-қайта іске қосудан тұрады, ол /etc/shadow файлының мазмұнын оқиды. Процесс форк жасағаннан кейін pidfd_open жүйелік шақыруы орындалады және pidfd_getfd жүйелік шақыруы арқылы қолжетімді pidfd дескрипторларының циклі және оларды /proc/self/fd арқылы тексеру орындалады. sshkeysign_pwn эксплойтында ұқсас манипуляциялар suid root ssh-keysign бағдарламасымен орындалады.
Мәселеге әлі CVE идентификаторы тағайындалған жоқ, ал ядро мен пакет жаңартулары дистрибутивтерде жарияланған жоқ. Бірнеше сағат бұрын шығарылған 7.0.7, 6.18.30 және 6.12.88 ядроларында осалдық әлі де патчталмаған. Жазу кезінде тек патчты пайдалануға болады. Мүмкін болатын шешімдер талқылануда, мысалы, sysctl kernel.yama.ptrace_scope=3 параметрін орнату немесе жүйедегі орындалатын файлдардан suid түбірлік жалаушасын алып тастау (кем дегенде эксплойттарда қолданылатын ssh-keysign және chage утилиталарынан).
Жаңарту: Осалдыққа CVE-2026-46333 идентификаторы тағайындалды. Ядро жаңартулары жасалды. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 және 5.10.256 осалдықтары түзетілген нұсқаларымен. Бұл дистрибутивтердің осалдықтарын түзету күйін келесі беттерден бағалауға болады: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.
Ақпарат көзі: opennet.ru
