Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GhostLock, BadEpoll и Januscape - уязвимости в ядре Linux, позволяющие получить права root и обойти изоляцию KVM

11.07.2026 13:50 (MSK)

Раскрыта информация об уязвимости (CVE-2026-43499) в ядре Linux, получившей кодовое имя GhostLock и позволяющая непривилегированному локальному пользователю получить права root в системе, а также выйти из изолированных контейнеров. При использовании в сочетании с другими уязвимостями в браузерах, выявленная проблема может применяться для удалённого выполнения кода с правами root при открытии специально оформленной web-страницы. Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

Утверждается, что уязвимость может быть эксплуатиована во всех дистрибутивах, выпущенных за последние 15 лет. Имеется рабочий эксплоит, создатели которого получили от Google премию в $92337 за успешное повышение привилегий в окружении с ядром KernelCTF (Capture the Flag), включающем дополнительные патчи для блокирования типовых методов работы эксплоитов. Степень успешности работы эксплоита оценивается в 97%. Уязвимость выявлена при помощи AI-инструментария VEGA.

Патч с исправлением принят в кодовую базу ядра 21 апреля и вошёл в состав выпусков ядра 7.1.0, 6.18.36, 6.12.95, 6.6.144 и 6.1.177. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, AlmaLinux, Gentoo, Arch, Fedora. Обходные пути блокирования проблемы отсутствуют.

Уязвимость присутствует в реализации блокировок futex и вызвана обращением к памяти после её освобождения, возникающем при работе механизма наследования приоритетов, предотвращающем инверсию приоритетов (блокировка высокоприоритетной задачи из-за ожидания освобождения ресурса, занятого низкоприоритетной задачей). В ситуации, когда установка блокировки завершается ошибкой, ядро откатывает состояние и вызывает функцию очистки. При определённом стечении обстоятельств функция очистки вызывается не в тот момент и освобождает структуру данных другой задачи, после чего остаётся висячий указатель (dangling pointer), ссылающийся на уже освобождённую память.

Эксплуатация уязвимости сводится к созданию условий для возникновения висячего указателя, используя только доступные пользователю системные вызовы для работы с потоками, реализации примитива для записи при помощи висячего указателя в произвольную область памяти ядра и применения этого примитива для подстановки перехода в таблицу функций ядра для перехвата потока управления.

В предложенном эксплоите осуществляется перезапись указателя в таблице функций inet6_protos[IPPROTO_UDP], после чего на loopback-интерфейс по IPv6 отправляется UDP-пакет, при обработке которого осуществляется вызов обработчика, указатель на который был подменён на прошлом этапе. Для получения root-доступа получивший управление код эксплоита прописывает в /proc/sys/kernel/core_pattern свой обработчик, вызываемый с правами root при крахе процессов.


Помимо рассмотренной проблемы в ядре Linux выявлено ещё несколько опасных уязвимостей:

  • Januscape (CVE-2026-53359) - обращение к памяти после её освобождения (use-after-free) в компонентах гипервизора KVM, выполняемых на стороне виртуальной машины для эмуляции блока управления памятью (MMU) и трансляции адресов между хостом и гостевой системой. Уязвимость проявляется на системах с процессорами Intel и AMD и позволяет получить доступ с правами root к хост-окружению при наличии доступа с правами root в гостевой системе.

    Для загрузки доступен прототип экспоита, повреждающий содержимое структуры данных на стороне хост-системы, применяемой при трансляции адресов. Опубликованный эксплоит приводит к аварийному завершению хост-системы, но по заявлению выявившего проблему исследователя, он также создал эксплоит для выполнения кода на стороне хост-окружения с правами root, но пока не публикует его, чтобы дать время на установку обновлений.

    Проблема вызвана ошибкой, допущенной 16 лет назад, и устранена в обновлениях 7.1.3, 6.18.38, 6.12.95, 6.6.144 и 6.1.177. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. За выявление уязвимости исследователь получил от Google вознаграждение в 250 тысяч долларов в рамках инициативы kvmCTF.

    Для выхода из гостевой системы на серверах на процессорами ARM64 тем же исследователем выявлена другая уязвимость ITScape (CVE-2026-46316), вызванная состоянием гонки в коде эмуляции vGIC-ITS (Interrupt Translation Service) в KVM. Для данной проблемы также опубликован прототип эксплоита.

  • Bad Epoll (CVE-2026-46242) - состояние гонки, приводящее к обращению к памяти после её освобождения, в подсистеме ядра epoll. Уязвимость позволяет локальному непривилегированному пользователю выполнить код с правами root. Проблема примечательна тем, что даёт возможность атаковать не только классические Linux-дистрибутивы, но и прошивки на базе платформы Android, а также не блокируется sandbox-изоляцией в Chrome. Рабочий эксплоит был продемонстрирован на соревновании kernelCTF (Google выплатил автору $71337). Надёжность работы эсплоита оценена в 99%.

    Проблема проявляется начиная с ядра Linux 6.4 (2023 год). О проблеме было сообщено разработчикам ядра 17 февраля, но исправление удалось разработать после нескольких неудачных попыток только 24 апреля. Проблема устранена в ядрах 6.18.24, 6.12.83, 6.6.136. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

  • CVE-2026-46215 - обращение к памяти после её освобождение в реализации ioctl DRM_IOCTL_GEM_CHANGE_HANDLE в подсистеме DRM (Direct Rendering Manager). Локальный пользователь, имеющий доступ к устройствам /dev/dri/renderD* (сервис systemd-logind предоставляет доступ всем пользователям при запуске графического сеанса во всех крупных дистрибутивах), может получить права root в системе. Имеется эксплоит. Проблема проявляется начиная с ядра 6.18 и устранена в обновлениях 7.0.9 и 6.18.32. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: PEdit-CoW и DirtyClone - уязвимости в ядре Linux, позволяющие получить root через изменение страничного кэша
  3. OpenNews: CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root
  4. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
  5. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
  6. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65880-kernel
Ключевые слова: kernel, securty
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:03, 11/07/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
  • 1.2, Аноним (2), 14:05, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >При использовании в сочетании с другими уязвимостями в браузерах, выявленная проблема может применяться для удалённого выполнения кода с правами root при открытии специально оформленной web-страницы. Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

    Это что, получить рут на телефоне можно просто пройдя по ссылке? Никогда рутование андроида не было таким простым.

     
     
  • 2.6, Халявщик не корпораст (?), 14:56, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только рут будет не для того юзера телефона, а для другого...
     
  • 2.13, Аноним (13), 15:48, 11/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.3, Аноним (3), 14:06, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    ну рут в госте это фактически рут на хосте, тут ничего удивительного
     
  • 1.4, Аноним (4), 14:24, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Masturbating monkey, говорите?
     
  • 1.5, Anonnn (?), 14:36, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну хоть латают быстро, только и успевай обновления накатывать.
     
     
  • 2.9, Аноним (9), 15:17, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, быстро работают:
    https://www.kernel.org
     

  • 1.7, Аноним (7), 15:13, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не понял, по описанию какая то эпичная уязвимость и  все молчат в комментариях? побежали обновляться что ли?
    для такой штуки как то мало денег дали в награду за находку
     
  • 1.8, Аноним (8), 15:17, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Проблема лежит в самой основе - сырая поделка финского студента обречена навсегда оставаться такой сырой.
     
     
  • 2.10, Аноним (7), 15:18, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    есть что то более готовое?
     
  • 2.11, dannyD (?), 15:25, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    профессор Таненбаум, вы забыли залогинится (
     
  • 2.12, Аноним (12), 15:36, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Вот не надо эти националистские штучки. Студент он и в Африке студент.
     
     
  • 3.16, Смузихеб забывший пароль (?), 16:05, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    финский студент проживает в Африке ?
     

  • 1.14, Аноним (14), 15:49, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    очередное доказательсво что 2.6.32 было лучшее ведро
     
  • 1.15, psv (??), 16:05, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы сделали анализ кто внес этот ценный вклад )))
     
     
  • 2.22, cnjzxir (?), 16:48, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я. Что дальше?
     
     
  • 3.31, Аноним (-), 17:36, 11/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.17, Смузихеб забывший пароль (?), 16:08, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при определённом стечении обстоятельств
    > функция очистки вызывается не в тот момент
    > и освобождает структуру данных другой задачи,
    > после чего остаётся висячий указатель
    > ссылающийся на уже освобождённую память

    Вызвали невовремя, освободили не то, зато получили висячий указатель вникуда. Идеально. Щщиикаарно(ц)

     
  • 1.18, funny.falcon (?), 16:19, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что интересно: такими темпами обнаружения проблем с помощью ИИ… Rust может стать не нужным.

    Простите, что начал этот флейм.

     
     
  • 2.19, Аноним (19), 16:30, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ошибка выжившего
     
  • 2.23, Аноним (23), 16:52, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Было бы относительно верно, если бы у нас была зафиксирована кодовая база.
    Ничего не добавляем, только фиксим баги.
    Прогоняем проверки, добавляем тесты.

    Но СИшные маkаки каждый релиз добавляют тысячи строк кода, каждая из которых может быть уязвимостью или бекдором.
    Значит придется проверять ИИшкой постоянно.

     
     
  • 3.26, Аноним (26), 17:10, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    растовые боровы работают лучше? за десятки лет существования языка никаких проблем?
     

  • 1.20, Мемоним (?), 16:41, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Линус на днях высказался о том, почему при разработке софта важно не зацикливаться на вопросах безопасности забивая на все остальное

    In fact, all the boring normal bugs are _way_ more important, just because there's a lot more of them.

    а также о людях, которые допускают такую ошибку

    I think the OpenBSD crowd is a bunch of masturbating monkeys [...]

    P.S. Вспомнилось другое высказывание Торвальдса о разработчиках еще одной ОС

    In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people.

    17 июл 2008. Хорошо настоялось.

     
     
  • 2.25, Аноним (25), 17:06, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    А можно еще добавить его недавнее высказывание.
    Август 2024 года на Open Source Summit China conference:

    "You'd think that all the basics would have been fixed long ago, but they're not. We're still dealing with basic issues such as memory management.

    Проекту всего 30+ лет, а базовый менеджента памяти оказывается не того((

     
     
  • 3.32, Аноним (32), 17:46, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Мог бы просто не принимать патчи недостаточного качества, но это думать надо, разбираться, работать, а это не для финского студента.
     

  • 1.21, Аноним (21), 16:48, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ванька83, ау!
    Ждем твое ыкпepдное мнение в стиле "вас что взломали?", "а докажите что взломали?", "меня не взломали - значит и вас не взломают".

     
  • 1.24, Аноним (24), 16:54, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эпично конечно
    отдельное спасибо за патчи.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру