Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GhostLock, BadEpoll и Januscape - уязвимости в ядре Linux, позволяющие получить права root и обойти изоляцию KVM

11.07.2026 13:50 (MSK)

Раскрыта информация об уязвимости (CVE-2026-43499) в ядре Linux, получившей кодовое имя GhostLock и позволяющая непривилегированному локальному пользователю получить права root в системе, а также выйти из изолированных контейнеров. При использовании в сочетании с другими уязвимостями в браузерах, выявленная проблема может применяться для удалённого выполнения кода с правами root при открытии специально оформленной web-страницы. Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

Утверждается, что уязвимость может быть эксплуатирована во всех дистрибутивах, выпущенных за последние 15 лет. Имеется рабочий эксплоит, создатели которого получили от Google премию в $92337 за успешное повышение привилегий в окружении с ядром KernelCTF (Capture the Flag), включающем дополнительные патчи для блокирования типовых методов работы эксплоитов. Степень успешности работы эксплоита оценивается в 97%. Уязвимость выявлена при помощи AI-инструментария VEGA.

Патч с исправлением принят в кодовую базу ядра 21 апреля и вошёл в состав выпусков ядра 7.1.0, 6.18.36, 6.12.95, 6.6.144 и 6.1.177. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, AlmaLinux, Gentoo, Arch, Fedora. Обходные пути блокирования проблемы отсутствуют.

Уязвимость присутствует в реализации блокировок futex и вызвана обращением к памяти после её освобождения, возникающем при работе механизма наследования приоритетов, предотвращающем инверсию приоритетов (блокировка высокоприоритетной задачи из-за ожидания освобождения ресурса, занятого низкоприоритетной задачей). В ситуации, когда установка блокировки завершается ошибкой, ядро откатывает состояние и вызывает функцию очистки. При определённом стечении обстоятельств функция очистки вызывается не в тот момент и освобождает структуру данных другой задачи, после чего остаётся висячий указатель (dangling pointer), ссылающийся на уже освобождённую память.

Эксплуатация уязвимости сводится к созданию условий для возникновения висячего указателя, используя только доступные пользователю системные вызовы для работы с потоками, реализации примитива для записи при помощи висячего указателя в произвольную область памяти ядра и применения этого примитива для подстановки перехода в таблицу функций ядра для перехвата потока управления.

В предложенном эксплоите осуществляется перезапись указателя в таблице функций inet6_protos[IPPROTO_UDP], после чего на loopback-интерфейс по IPv6 отправляется UDP-пакет, при обработке которого осуществляется вызов обработчика, указатель на который был подменён на прошлом этапе. Для получения root-доступа получивший управление код эксплоита прописывает в /proc/sys/kernel/core_pattern свой обработчик, вызываемый с правами root при крахе процессов.


Помимо рассмотренной проблемы в ядре Linux выявлено ещё несколько опасных уязвимостей:

  • Januscape (CVE-2026-53359) - обращение к памяти после её освобождения (use-after-free) в компонентах гипервизора KVM, выполняемых на стороне виртуальной машины для эмуляции блока управления памятью (MMU) и трансляции адресов между хостом и гостевой системой. Уязвимость проявляется на системах с процессорами Intel и AMD и позволяет получить доступ с правами root к хост-окружению при наличии доступа с правами root в гостевой системе.

    Для загрузки доступен прототип экспоита, повреждающий содержимое структуры данных на стороне хост-системы, применяемой при трансляции адресов. Опубликованный эксплоит приводит к аварийному завершению хост-системы, но по заявлению выявившего проблему исследователя, он также создал эксплоит для выполнения кода на стороне хост-окружения с правами root, но пока не публикует его, чтобы дать время на установку обновлений.

    Проблема вызвана ошибкой, допущенной 16 лет назад, и устранена в обновлениях 7.1.3, 6.18.38, 6.12.95, 6.6.144 и 6.1.177. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. За выявление уязвимости исследователь получил от Google вознаграждение в 250 тысяч долларов в рамках инициативы kvmCTF.

    Для выхода из гостевой системы на серверах на процессорами ARM64 тем же исследователем выявлена другая уязвимость ITScape (CVE-2026-46316), вызванная состоянием гонки в коде эмуляции vGIC-ITS (Interrupt Translation Service) в KVM. Для данной проблемы также опубликован прототип эксплоита.

  • Bad Epoll (CVE-2026-46242) - состояние гонки, приводящее к обращению к памяти после её освобождения, в подсистеме ядра epoll. Уязвимость позволяет локальному непривилегированному пользователю выполнить код с правами root. Проблема примечательна тем, что даёт возможность атаковать не только классические Linux-дистрибутивы, но и прошивки на базе платформы Android, а также не блокируется sandbox-изоляцией в Chrome. Рабочий эксплоит был продемонстрирован на соревновании kernelCTF (Google выплатил автору $71337). Надёжность работы эсплоита оценена в 99%.

    Проблема проявляется начиная с ядра Linux 6.4 (2023 год). О проблеме было сообщено разработчикам ядра 17 февраля, но исправление удалось разработать после нескольких неудачных попыток только 24 апреля. Проблема устранена в ядрах 6.18.24, 6.12.83, 6.6.136. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

  • CVE-2026-46215 - обращение к памяти после её освобождение в реализации ioctl DRM_IOCTL_GEM_CHANGE_HANDLE в подсистеме DRM (Direct Rendering Manager). Локальный пользователь, имеющий доступ к устройствам /dev/dri/renderD* (сервис systemd-logind предоставляет доступ всем пользователям при запуске графического сеанса во всех крупных дистрибутивах), может получить права root в системе. Имеется эксплоит. Проблема проявляется начиная с ядра 6.18 и устранена в обновлениях 7.0.9 и 6.18.32. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: PEdit-CoW и DirtyClone - уязвимости в ядре Linux, позволяющие получить root через изменение страничного кэша
  3. OpenNews: CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root
  4. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
  5. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
  6. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65880-kernel
Ключевые слова: kernel, securty
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 14:05, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >При использовании в сочетании с другими уязвимостями в браузерах, выявленная проблема может применяться для удалённого выполнения кода с правами root при открытии специально оформленной web-страницы. Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

    Это что, получить рут на телефоне можно просто пройдя по ссылке? Никогда рутование андроида не было таким простым.

     
     
  • 2.6, Халявщик не корпораст (?), 14:56, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Только рут будет не для того юзера телефона, а для другого...
     
     
  • 3.60, Аноним (60), 02:20, 12/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > получить права root в системе, а также выйти из изолированных контейнеров.

    А если на расте и вейленде писать, то проблемы не будет?

     
  • 2.13, Аноним (13), 15:48, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, нельзя. SELinux же. Рут конечно будет. А пользы от него нет.
     
  • 2.50, Аноним (50), 20:53, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже было в айфонах. Ничего своего придумать не могут, всё слизывают у Эппла.
     
  • 2.71, Аноним (71), 09:44, 12/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.3, Аноним (3), 14:06, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    ну рут в госте это фактически рут на хосте, тут ничего удивительного
     
     
  • 2.40, нах. (?), 18:51, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ТЕПЕРЬ - да.

    Занимаем кресла поудобнее, откупориваем пивас, наблюдаем за суетой kvm-шитхостеров.
    ООООчень интересновое (потому что без отключения хоста хрен ты проблему-то устранишь)

     
     
  • 3.46, Аноним (3), 19:38, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    да всегда так, дрова устройств вон тоже
     
  • 3.51, AlexH (?), 20:53, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Про kvm-шитхостеров понятно, не подскажете ли, что используют серьёзные ребята труъ-хостеры?
     
     
  • 4.54, Аноним (54), 21:26, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вмтварь
     
     
  • 5.56, нах. (?), 21:36, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вмтварь

    hyperv тоже до недавнего времени попадались. Не знаю как сейчас - не того цвета паспорт не оставляет особых вариантов.

     
  • 4.55, нах. (?), 21:36, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Hypervisor: Origin = "VMwareVMware"

    С 16го года полет нормальный. Но нынешний ценник тебя не обрадует. Времена двухевровых вмок увы прошли. И техподдержка регулярно предлагает выметаться по-хорошему.

    А у несерьезных несерьезно все:
    reboot   system boot  4.18.0-553.137.1 Wed Jul  8 01:21   still running
    reboot   system boot  4.18.0-553.134.1 Wed Jun 24 23:42   still running

    и это еще без всякого ghostlock.

     

  • 1.5, Anonnn (?), 14:36, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну хоть латают быстро, только и успевай обновления накатывать.
     
     
  • 2.9, Аноним (9), 15:17, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну да, быстро работают:
    https://www.kernel.org
     

  • 1.7, Аноним (7), 15:13, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не понял, по описанию какая то эпичная уязвимость и  все молчат в комментариях? побежали обновляться что ли?
    для такой штуки как то мало денег дали в награду за находку
     
     
  • 2.35, нах. (?), 18:43, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > побежали обновляться что ли?

    grep CONFIG_FUTEX_PI /boot/config-* || echo none
    none

    3.0.10x по сути 2.6.24, ее не задело. А те, модные современные тазики - пусть девляпы обновляют.

    Как обычно, фича нужная примерно никому, еще и намертво вкомпиляемая в ведро, атовдруг.

     
  • 2.59, penetrator (?), 01:22, 12/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    всё нормально облачники должны страдать ))
     

  • 1.14, Аноним (14), 15:49, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    очередное доказательсво что 2.6.32 было лучшее ведро
     
  • 1.15, psv (??), 16:05, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лучше бы сделали анализ кто внес этот ценный вклад )))
     
     
  • 2.22, cnjzxir (?), 16:48, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я. Что дальше?
     
     
  • 3.31, Аноним (-), 17:36, 11/07/2026 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     

  • 1.17, Смузихеб забывший пароль (?), 16:08, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при определённом стечении обстоятельств
    > функция очистки вызывается не в тот момент
    > и освобождает структуру данных другой задачи,
    > после чего остаётся висячий указатель
    > ссылающийся на уже освобождённую память

    Вызвали невовремя, освободили не то, зато получили висячий указатель вникуда. Идеально. Щщиикаарно(ц)

     
  • 1.18, funny.falcon (?), 16:19, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что интересно: такими темпами обнаружения проблем с помощью ИИ… Rust может стать не нужным.

    Простите, что начал этот флейм.

     
     
  • 2.19, Аноним (19), 16:30, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ошибка выжившего
     
  • 2.23, Аноним (23), 16:52, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Было бы относительно верно, если бы у нас была зафиксирована кодовая база.
    Ничего не добавляем, только фиксим баги.
    Прогоняем проверки, добавляем тесты.

    Но СИшные маkаки каждый релиз добавляют тысячи строк кода, каждая из которых может быть уязвимостью или бекдором.
    Значит придется проверять ИИшкой постоянно.

     
     
  • 3.26, Аноним (26), 17:10, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    растовые боровы работают лучше? за десятки лет существования языка никаких проблем?
     
     
  • 4.42, Аноним (42), 19:01, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Да, именно так.
     
     
  • 5.47, Аноним (47), 19:49, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    не так

    https://opennet.ru/64439-kernel

     
     
  • 6.53, Аноним (42), 21:22, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > не так
    > https://opennet.ru/64439-kernel

    Так.

    "Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe"

     
     
  • 7.57, Аноним (47), 22:15, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это, мягко говоря, ложь полнейшая. Проблема была в том, что лок, который вешали на список, отвечал за лок ОБЪЕКТОВ внутри листа, а не на саму память листа (хотя это тоже косвенно подразумевалось). Поскольку растишки, которые этот код писали, постоянно думают только про память, они решили схитрить и скопипастили содержимое листа целиком и тут же свой лок отпустили, создав по сути висящий указатель. Проблема была в логике работы с многопоточным доступом к шаренной памяти не листа, а тех объектов которые в листе хранились. Почитай сам рассылку и посмотри на тот код, который с этими локами и работал.
     
     
  • 8.58, Аноним (42), 22:44, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Да что ты говоришь Проблема была не с доступом памяти листа , а его объектов ... большой текст свёрнут, показать
     
     
  • 9.70, Аноним (47), 07:29, 12/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.44, Аноним (42), 19:18, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > такими темпами обнаружения проблем с помощью ИИ… Rust может стать не нужным.

    Тебя бы приняли как родного в маркетинговый отдел любой ИИ компании. Им выгодно: чем дольше бракоделы будут продолжать писать на дырявых технологиях из 70х - тем больше токенов будут закупать для ИИшки, которая будет за ними подтирать.

     

  • 1.20, Мемоним (?), 16:41, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Линус на днях высказался о том, почему при разработке софта важно не зацикливаться на вопросах безопасности забивая на все остальное

    In fact, all the boring normal bugs are _way_ more important, just because there's a lot more of them.

    а также о людях, которые допускают такую ошибку

    I think the OpenBSD crowd is a bunch of masturbating monkeys [...]

    P.S. Вспомнилось другое высказывание Торвальдса о разработчиках еще одной ОС

    In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people.

    17 июл 2008. Хорошо настоялось.

     
     
  • 2.25, Аноним (25), 17:06, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно еще добавить его недавнее высказывание.
    Август 2024 года на Open Source Summit China conference:

    "You'd think that all the basics would have been fixed long ago, but they're not. We're still dealing with basic issues such as memory management.

    Проекту всего 30+ лет, а базовый менеджента памяти оказывается не того((

     
  • 2.63, Аноним (63), 03:33, 12/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше пусть он расскажет сколько ему отслюнявили за эти бэкдоры.
     

  • 1.21, Аноним (21), 16:48, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ванька83, ау!
    Ждем твое ыкпepдное мнение в стиле "вас что взломали?", "а докажите что взломали?", "меня не взломали - значит и вас не взломают".

     
     
  • 2.37, нах. (?), 18:44, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так у него фря. Нет в ней поди до сих пор никаких фиговых фьютексов. Обычными пользуйтесь.

     
     
  • 3.41, Аноним (42), 19:00, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > так у него фря

    Андроид у него тоже есть.

     
     
  • 4.43, нах. (?), 19:05, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    >> так у него фря
    > Андроид у него тоже есть.

    думаешь, на опеннет опасно с него заходить?

     
     
  • 5.45, Аноним (42), 19:20, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На Опеннет с чего угодно опасно заходить, ибо от перлов местных комментаторов натурально мозг плавится.
     

  • 1.24, Аноним (24), 16:54, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эпично конечно
    отдельное спасибо за патчи.
     
  • 1.39, Аноним (39), 18:48, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

    А, фух, пронесло.

     
  • 1.61, Аноним (61), 02:32, 12/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Линукс всегда был дырявым, тоже мне новость. Кого это еще удивляет?
    Просто с его полтора процентами охвата оно никому по серъезному никогда не нужно было.
     
  • 1.62, Аноним (63), 03:30, 12/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очередной бэкдор, ничего нового.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру