Исследователи безопасности из компании Qualys обнаружили серьезную уязвимость в операционной системе Linux, которая существовала с 2016 года и может позволить обычному пользователю или злоумышленнику получить полный административный доступ к системам. Этот недостаток, обозначенный как CVE-2026-46333, присутствует в стандартных конфигурациях многих популярных дистрибутивов, включая Red Hat, SUSE, Debian, Ubuntu и Fedora.
По данным Qualys, злоумышленники могут воспользоваться этой уязвимостью для просмотра конфиденциальных файлов или выполнения команд с наивысшим уровнем контроля над системой. Критичность недостатка оценена в 5.5 баллов из 10, что соответствует среднему уровню угрозы. Суть проблемы заключается в узком временном окне, во время которого привилегированный процесс, теряющий свои права, остается доступным для взаимодействия.
Когда программа с административными привилегиями завершает свою работу, система Linux должна была бы немедленно ограничить доступ других программ к ней. Однако, из-за обнаруженной проблемы CVE-2026-46333, это ограничение происходит с задержкой, что дает возможность непривилегированным пользователям воспользоваться этим коротким промежутком времени. В течение этого момента злоумышленник может захватить копии открытых соединений и файлов, принадлежащих завершенной привилегированной программе.
Исследователи из Qualys успешно создали четыре рабочих эксплойта, которые демонстрируют реальную опасность этой уязвимости. Они подтвердили эффективность эксплойтов на стандартных установках Debian 13, Ubuntu 24.04 и 26.04, а также Fedora 43 и 44. Компания сообщила о недостатке команде безопасности ядра Linux 11 мая 2026 года, которая предоставила патч уже 14 мая. Однако, вскоре после этого появился независимый эксплойт, что привело к публикации полного отчета об уязвимости.
Настоятельно рекомендуется немедленно установить обновления ядра от своих дистрибутивов. Если немедленное обновление невозможно, рекомендовано установить параметр kernel.yama.ptrace_scope на значение 2, что заблокирует возможность использования публичных эксплойтов. Компьютеры, которые имели ненадежных локальных пользователей в период обнаружения уязвимости, должны рассматривать ключи SSH и локально сохраненные учетные данные как скомпрометированные и как можно скорее осуществить их ротацию.
