Në thelb Linux Dobësia, e cila mori një emër jozyrtar, u rregullua. ssh-keysign-pwnProblemi i lejon një përdoruesi lokal, pa privilegje, të lexojë skedarë që duhet të jenë të aksesueshëm vetëm nga root, duke përfshirë çelësat privatë të hostit SSH dhe, në skenarë të caktuar, /etc/shadow. Në kohën e publikimit, një CVE specifike nuk ishte caktuar ende për problemin.
Pavarësisht emrit, ky nuk është një gabim në OpenSSH si një server rrjeti sshd, por më tepër defekt në logjikën thelbësore Linux, që lidhet me kontrollet ptrace dhe qasjen në përshkruesit e skedarëve të një procesi tjetër nëpërmjet pidfd_getfd(2). Shërbimi OpenSSH ssh-keysign doli të ishte një shembull i përshtatshëm shfrytëzimi sepse funksionon me çelësa privatë të hostit, të cilët zakonisht janë në pronësi të root dhe të paarritshëm për përdoruesit e rregullt.
Thelbi i gabimit Problemi ishte se funksioni __ptrace_may_access() trajtoi gabimisht gjendjen e një procesi, struktura e memories mm e të cilit ishte zhdukur tashmë, por përshkruesit e skedarëve të hapur të të cilit ende mbeteshin. Gjatë përfundimit të procesit, kerneli thërret exit_mm() para se të mbyllë skedarët nëpërmjet exit_files(). Gjatë kësaj periudhe të shkurtër, procesi nuk duket se ka më një hapësirë normale adresash përdoruesi, por skedarët e tij të hapur ende ekzistojnë. Për shkak të kësaj, kontrolli i gjendjes "i hedhshëm" mund të anashkalohej dhe pidfd_getfd() mund të aksesonte përshkruesin e skedarit të dikujt tjetër me një UID që përputhet.
Një skenar praktik sillet rreth programeve setuid që së pari hapin një skedar të ndjeshëm me privilegje root, pastaj i heqin privilegjet dhe dalin me dorezën ende të hapur. Përshkrimi i publikuar përdor ssh-keysign si shembull: hap /etc/ssh/ssh_host_{ecdsa,ed25519,rsa}_key, pastaj i heqin privilegjet dhe mund të dalin nëse EnableSSHKeysign është çaktivizuar. Këta çelësa duhet të jenë të arritshëm vetëm për root, pasi ato përdoren për autentifikim të bazuar në host.
Shembulli i dytë është chage, i cili mund të hapë /etc/shadow, pastaj të rivendosë lejet efektive dhe të dalë. Si rezultat, sulmi nuk ofron domosdoshmërisht menjëherë një shell rrënjë, por lejon qasje në përmbajtjen e skedarëve që zakonisht konsiderohen të ndjeshëm. Një rrjedhje e /etc/shadow paraqet rrezikun e hamendësimit të mëvonshëm të fjalëkalimeve jashtë linje, ndërsa një rrjedhje e çelësave privatë të hostit SSH paraqet rrezikun e falsifikimit të hostit ose sulmeve ndaj skripteve të besuara SSH.
Rregullimi është pranuar tashmë në degën kryesore. LinuxKryej 31e62c2ebbfd me titullin ptrace: logjika pak më e shëndoshë 'get_dumpable()' ndryshon sjelljen e kontrollit të dumpabilitetit: kerneli tani ruan gjendjen user_dumpable kur mm zhduket dhe kërkon një kontroll të saktë CAP_SYS_PTRACE për ta anashkaluar. Patch-i ndikon në include/linux/sched.h, kernel/exit.c dhe kernel/ptrace.c.
Dobësia u raportua nga Qualys dhe u përditësua nga Linus Torvalds më 14 maj 2026. Phoronix vëren se në kohën e publikimit, problemi preku të gjitha versionet e kernel-it. Linux Deri në gjendjen aktuale të pemës kryesore para prezantimit të patch-it. Autori i PoC tregon gjithashtu se bërthamat para kryerjes së 31e62c2ebbfd janë të cenueshme, duke përfshirë degët e qëndrueshme që nga 14 maji.
Është veçanërisht e rëndësishme që shfrytëzimi të mos kërkojë ngarkimin e moduleve specifike të kernelit, siç është rasti me një numër dobësish të kohëve të fundit të LPE-së. Qasja lokale dhe e paprivilegjuar në sistem dhe prania e një procesi ndihmës të privilegjuar të përshtatshëm janë të mjaftueshme. Zhvilluesi Debian Daniel Baumann ai vuri në dukje, që ky problem duhet të zgjidhet duke përditësuar kernelin dhe më pas duke e rinisur në kernelin e riparuar.
Depozita e publikuar me demon pretendon se është testuar në Raspberry Pi OS Bookworm me kernel 6.12.75, Debian 13, Ubuntu 22.04, Ubuntu 24.04, Ubuntu 26.04, Harku dhe CentOS 9. Kjo listë duhet të trajtohet si të dhëna të autorit mbi PoC-në, dhe jo si një listë shteruese: meqenëse gabimi është në logjikën e përgjithshme të kernelit, mbulimi aktual varet nga versioni i kernelit dhe disponueshmëria e një rregullimi të backport për një shpërndarje të caktuar.
Për administratorët, rekomandimi bazë është i thjeshtë: instaloni paketën e përditësuar të kernelit për shpërndarjen tuaj dhe ristartoni sistemin. Nëse ka arsye për të besuar se një sulmues ka pasur më parë akses lokal dhe të paprivilegjuar në makinë, pas përditësimit, ia vlen të merret në konsideratë edhe rrotullimi i çelësave të hostit SSH dhe kontrollimi i /etc/shadow/accounts, pasi vetë dobësia lidhet posaçërisht me leximin e skedarëve të ndjeshëm, jo vetëm me një anashkalim abstrakt të kontrolleve të aksesit.
В Debian Puna për backportimin e rregullimit ka filluar tashmë: Baumann njoftoi një zgjedhje të cherry-së të commit upstream në trixie-fastforward-backports dhe një kërkesë bashkimi për Debian sid. Kërkesa për bashkim deklaron në mënyrë të qartë se commit 31e62c2 po zhvendoset për të rregulluar logjikën ptrace të dumpability, e cila i lejon një përdoruesi pa privilegje të lexojë skedarët rrënjë.
Burimi: linux.org.ru
