Безпекові дослідники з компанії Qualys виявили серйозну вразливість в операційній системі Linux, яка існувала з 2016 року і може дозволити звичайному користувачеві або зловмиснику отримати повний адміністративний доступ до систем. Ця недосконалість, позначена як CVE-2026-46333, наявна в стандартних конфігураціях багатьох популярних дистрибутивів, включаючи Red Hat, SUSE, Debian, Ubuntu та Fedora.
За даними Qualys, зловмисники можуть скористатися цією вразливістю для перегляду конфіденційних файлів або виконання команд з найвищим рівнем контролю над системою. Критичність недоліку оцінена у 5.5 балів з 10, що відповідає середньому рівню загрози. Суть проблеми полягає у вузькому часовому вікні, під час якого привілейований процес, що втрачає свої права, залишається доступним для взаємодії.
Коли програма з адміністративними привілеями завершує свою роботу, система Linux мала б негайно обмежити доступ інших програм до неї. Однак, через виявлену проблему CVE-2026-46333, це обмеження відбувається із запізненням, що дає можливість непривілейованим користувачам скористатися цим коротким проміжком часу. Протягом цього моменту зловмисник може захопити копії відкритих з’єднань і файлів, що належать завершеній привілейованій програмі.
Дослідники з Qualys успішно створили чотири робочих експлойти, які демонструють реальну небезпеку цієї вразливості. Вони підтвердили ефективність експлойтів на стандартних установках Debian 13, Ubuntu 24.04 та 26.04, а також Fedora 43 і 44. Компанія повідомила про недолік команді безпеки ядра Linux 11 травня 2026 року, яка надала патч вже 14 травня. Однак, невдовзі після цього з’явився незалежний експлойт, що призвело до публікації повного звіту про вразливість.
Наполегливо рекомендується негайно встановити оновлення ядра від своїх дистрибутивів. Якщо негайне оновлення неможливе, рекомендовано встановити параметр kernel.yama.ptrace_scope на значення 2, що заблокує можливість використання публічних експлойтів. Комп’ютери, які мали ненадійних локальних користувачів у період виявлення вразливості, повинні розглядати ключі SSH та локально збережені облікові дані як скомпрометовані та якнайшвидше здійснити їх ротацію.
