Π’ Linux De ssh-keysign-pwn-kwetsbaarheid, waarmee lokale gebruikers root-bestanden konden lezen, is verholpen.

In de kern Linux De kwetsbaarheid, die een onofficiΓ«le naam kreeg, is verholpen. ssh-keysign-pwnHet probleem maakt het voor een lokale gebruiker zonder beheerdersrechten mogelijk om bestanden te lezen die alleen toegankelijk zouden moeten zijn voor root, waaronder privΓ©sleutels van SSH-hosts en, in bepaalde gevallen, /etc/shadow. Ten tijde van publicatie was er nog geen specifiek CVE-nummer toegekend voor dit probleem.

Ondanks de naam is dit geen bug in OpenSSH als netwerkserver sshd, maar eerder defect in de kernlogica LinuxDit heeft te maken met ptrace-controles en toegang tot de bestandsdescriptors van een ander proces via pidfd_getfd(2). Het OpenSSH-hulpprogramma ssh-keysign bleek een handig voorbeeld van exploitatie, omdat het werkt met privΓ©sleutels van de host, die doorgaans eigendom zijn van root en ontoegankelijk zijn voor gewone gebruikers.

De essentie van de fout Het probleem was dat de functie __ptrace_may_access() de status van een proces onjuist behandelde. De mm-geheugenstructuur van het proces was al verdwenen, maar de open bestandsdescriptors bestonden nog wel. Tijdens de beΓ«indiging van het proces roept de kernel exit_mm() aan voordat de bestanden worden gesloten via exit_files(). Gedurende deze korte periode lijkt het proces geen normale gebruikersadresruimte meer te hebben, maar de open bestanden bestaan ​​nog wel. Hierdoor kon de controle op de "dumpbare" status worden omzeild en kon pidfd_getfd() toegang krijgen tot de bestandsdescriptor van een ander proces met een overeenkomende UID.

Een praktisch scenario draait om setuid-programma's die eerst een gevoelig bestand openen met rootrechten, vervolgens de rechten teruggeven en afsluiten terwijl de handle nog open is. De gepubliceerde beschrijving gebruikt ssh-keysign als voorbeeld: het opent /etc/ssh/ssh_host_{ecdsa,ed25519,rsa}_key, geeft vervolgens de rechten terug en kan afsluiten als EnableSSHKeysign is uitgeschakeld. Deze sleutels zouden alleen toegankelijk moeten zijn voor root, omdat ze worden gebruikt voor authenticatie op basis van de host.

Het tweede voorbeeld is `chage`, waarmee `/etc/shadow` geopend kan worden, de effectieve machtigingen gereset kunnen worden en het programma vervolgens afgesloten kan worden. Hierdoor krijgt de aanval niet per se direct een root-shell, maar wel toegang tot de inhoud van bestanden die doorgaans als gevoelig worden beschouwd. Een lek van `/etc/shadow` brengt het risico met zich mee van het offline raden van wachtwoorden, terwijl een lek van privΓ©sleutels van SSH-hosts het risico met zich meebrengt van host-spoofing of aanvallen op vertrouwde SSH-scripts.

De oplossing is al opgenomen in de hoofdbranch. LinuxCommit 31e62c2ebbfd met de titel ptrace: iets verstandigere 'get_dumpable()'-logica wijzigt het gedrag van de controle op dumpbaarheid: de kernel behoudt nu de user_dumpable-status wanneer mm verdwijnt en vereist een correcte CAP_SYS_PTRACE-controle om deze te omzeilen. De patch heeft gevolgen voor include/linux/sched.h, kernel/exit.c en kernel/ptrace.c.

De kwetsbaarheid werd gemeld door Qualys en verholpen door Linus Torvalds op 14 mei 2026. Phoronix merkt op dat het probleem op het moment van publicatie alle kernelversies trof. Linux Tot aan de huidige status van de hoofdbranch voordat de patch werd geΓ―ntroduceerd. De auteur van de proof-of-concept geeft ook aan dat kernels van vΓ³Γ³r commit 31e62c2ebbfd kwetsbaar zijn, inclusief stabiele branches van 14 mei.

Het is vooral belangrijk dat de exploitatie geen specifieke kernelmodules hoeft te laden, zoals het geval is bij een aantal recente LPE-kwetsbaarheden. Lokale, niet-bevoorrechte toegang tot het systeem en de aanwezigheid van een geschikt bevoorrecht hulpproces zijn voldoende. Ontwikkelaar Debian Daniel Baumann hij merktedat dit probleem verholpen zou moeten worden door de kernel bij te werken en vervolgens opnieuw op te starten met de gepatchte kernel.

De gepubliceerde repository met de demo beweert getest te zijn op Raspberry Pi OS Bookworm met kernel 6.12.75. Debian 13, Ubuntu 22.04, Ubuntu 24.04, Ubuntu 26.04, Arch en CentOS 9. Deze lijst moet worden beschouwd als de gegevens van de auteur over de PoC, en niet als een uitputtende lijst: aangezien de bug zich in de algemene kernellogica bevindt, hangt de daadwerkelijke dekking af van de kernelversie en de beschikbaarheid van een backport-fix voor een specifieke distributie.

Voor beheerders is de basisaanbeveling eenvoudig: installeer het bijgewerkte kernelpakket voor uw distributie en herstart het systeem. Als er reden is om aan te nemen dat een aanvaller eerder lokale, niet-bevoorrechte toegang tot de machine heeft gehad, is het na de update raadzaam om bovendien de SSH-hostsleutels te roteren en /etc/shadow/accounts te controleren, aangezien de kwetsbaarheid specifiek verband houdt met het lezen van gevoelige bestanden en niet slechts met een abstracte omzeiling van toegangscontroles.

Π’ Debian Er is al begonnen met het terugporteren van de oplossing: Baumann meldde dat hij de upstream commit in trixie-fastforward-backports heeft overgenomen en een merge request heeft verzonden naar Debian sid. In het samenvoegingsverzoek staat expliciet vermeld dat commit 31e62c2 wordt verplaatst om de ptrace-logica van dumpability te corrigeren, die een gebruiker zonder beheerdersrechten in staat stelt root-bestanden te lezen.

Bron: linux.org.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers πŸ”₯ Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster