Дар асл Linux Панҷумин (1, 2, 3) осебпазирии муҳим дар ду ҳафтаи охир муайян карда шуд, ки ба корбар имкон медиҳад, ки имтиёзҳои худро дар система афзоиш диҳад. Ду эксплойти корӣ нашр шуданд: sshkeysign_pwn ба корбари беимтиёз имкон медиҳад, ки мундариҷаи калидҳои SSH-и хусусии мизбони /etc/ssh/ssh_host_*_key-ро хонад ва chage_pwn ба корбари беимтиёз имкон медиҳад, ки мундариҷаи файли /etc/shadow-ро, ки хэшҳои пароли корбарро дар бар мегирад, хонад.
Ин осебпазирӣ барои ошкор кардан пешбинӣ нашуда буд, аммо як муҳаққиқи амниятӣ тавонист осебпазириро дар асоси патчи пешниҳодшудаи ядро муайян кунад, ки имкон медиҳад файлҳое, ки танҳо барои корбари реша дастрасанд, ба монанди /etc/shadow, хонда шаванд. Тағйири ядро мантиқи истифодаи функсияи get_dumpable()-ро дар ptrace ҳангоми муайян кардани сатҳҳои дастрасӣ дар функсияи ptrace_may_access() танзим кард.
Ин осебпазирӣ аз сабаби як ҳолати мусобиқа ба вуҷуд меояд, ки пас аз дастрасӣ ба файл аз раванди решаи suid ба тавсифи файли pidfd дастрасии беимтиёзро медиҳад. Байни кушодани файл ва аз нав танзим кардани имтиёзҳо дар барномаи suid (масалан, тавассути функсияи setreuid), вазъияте ба миён меояд, ки барномае, ки барномаи решаи suid-ро иҷро мекунад, метавонад ба файле, ки аз ҷониби барномаи suid тавассути тавсифи pidfd кушода шудааст, дастрасӣ пайдо кунад, ҳатто агар иҷозатҳои файл онро иҷозат надиҳанд.
Тирезаи истифодашаванда аз он сабаб ба миён меояд, ки функсияи "__ptrace_may_access()" санҷиши дастрасии файлро сарфи назар мекунад, агар майдони task->mm пас аз exit_mm(), вале пеш аз даъват шудани exit_files() ба NULL муқаррар шуда бошад. Дар айни замон, даъвати системавии pidfd_getfd фарз мекунад, ки ID-и корбари раванди даъват (uid) бо ID-и корбаре, ки барои дастрасӣ ба файл иҷозат дода шудааст, мувофиқат мекунад. Қобили зикр аст, ки ин масъала қаблан дар соли 2020 ҳал шуда буд, аммо ҳалношуда боқӣ мемонад.
Дар эксплойт, ки мундариҷаи /etc/shadow-ро ба даст меорад, ҳамла аз ба кор андохтани такрории барномаи /usr/bin/chage тавассути fork+execl бо парчами решаи suid, ки мундариҷаи /etc/shadow-ро мехонад, иборат аст. Пас аз форк кардани раванд, даъвати системавии pidfd_open иҷро мешавад ва як ҳалқаи тавсифкунандагони дастраси pidfd тавассути даъвати системавии pidfd_getfd ва тасдиқи онҳо тавассути /proc/self/fd анҷом дода мешавад. Дар эксплойти sshkeysign_pwn, манипуляцияҳои монанд бо барномаи ssh-keysign решаи suid анҷом дода мешаванд.
Ба ин мушкилот ҳанӯз идентификатори CVE таъин нашудааст ва навсозиҳои ядро ва бастаҳо дар дистрибутсияҳо нашр нашудаанд. Ин осебпазирӣ дар ядроҳои 7.0.7, 6.18.30 ва 6.12.88, ки чанд соат пеш бароварда шуда буданд, патч нашуда боқӣ мемонад. Дар вақти навиштан, танҳо патчро истифода бурдан мумкин аст. Роҳҳои ҳалли имконпазир, ба монанди муқаррар кардани sysctl kernel.yama.ptrace_scope=3 ё хориҷ кардани парчами решаи suid аз файлҳои иҷрошаванда дар система (ҳадди аққал аз утилитаҳои ssh-keysign ва chage, ки дар эксплойтҳо истифода мешаванд), баррасӣ мешаванд.
Навсозӣ: Ба осебпазирӣ идентификатори CVE-2026-46333 таъин карда шуд. Навсозиҳои ядро тавлид карда шуданд. Linux 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 ва 5.10.256 бо ислоҳи осебпазириҳо. Ҳолати ислоҳи осебпазириҳо барои ин тақсимотро дар ин саҳифаҳо арзёбӣ кардан мумкин аст: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.
Манбаъ: opennet.ru
