Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GhostLock, BadEpoll и Januscape - уязвимости в ядре Linux, позволяющие получить права root и обойти изоляцию KVM

11.07.2026 13:50 (MSK)

Раскрыта информация об уязвимости (CVE-2026-43499) в ядре Linux, получившей кодовое имя GhostLock и позволяющая непривилегированному локальному пользователю получить права root в системе, а также выйти из изолированных контейнеров. При использовании в сочетании с другими уязвимостями в браузерах, выявленная проблема может применяться для удалённого выполнения кода с правами root при открытии специально оформленной web-страницы. Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

Утверждается, что уязвимость может быть эксплуатиована во всех дистрибутивах, выпущенных за последние 15 лет. Имеется рабочий эксплоит, создатели которого получили от Google премию в $92337 за успешное повышение привилегий в окружении с ядром KernelCTF (Capture the Flag), включающем дополнительные патчи для блокирования типовых методов работы эксплоитов. Степень успешности работы эксплоита оценивается в 97%. Уязвимость выявлена при помощи AI-инструментария VEGA.

Патч с исправлением принят в кодовую базу ядра 21 апреля и вошёл в состав выпусков ядра 7.1.0, 6.18.36, 6.12.95, 6.6.144 и 6.1.177. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, AlmaLinux, Gentoo, Arch, Fedora. Обходные пути блокирования проблемы отсутствуют.

Уязвимость присутствует в реализации блокировок futex и вызвана обращением к памяти после её освобождения, возникающем при работе механизма наследования приоритетов, предотвращающем инверсию приоритетов (блокировка высокоприоритетной задачи из-за ожидания освобождения ресурса, занятого низкоприоритетной задачей). В ситуации, когда установка блокировки завершается ошибкой, ядро откатывает состояние и вызывает функцию очистки. При определённом стечении обстоятельств функция очистки вызывается не в тот момент и освобождает структуру данных другой задачи, после чего остаётся висячий указатель (dangling pointer), ссылающийся на уже освобождённую память.

Эксплуатация уязвимости сводится к созданию условий для возникновения висячего указателя, используя только доступные пользователю системные вызовы для работы с потоками, реализации примитива для записи при помощи висячего указателя в произвольную область памяти ядра и применения этого примитива для подстановки перехода в таблицу функций ядра для перехвата потока управления.

В предложенном эксплоите осуществляется перезапись указателя в таблице функций inet6_protos[IPPROTO_UDP], после чего на loopback-интерфейс по IPv6 отправляется UDP-пакет, при обработке которого осуществляется вызов обработчика, указатель на который был подменён на прошлом этапе. Для получения root-доступа получивший управление код эксплоита прописывает в /proc/sys/kernel/core_pattern свой обработчик, вызываемый с правами root при крахе процессов.


Помимо рассмотренной проблемы в ядре Linux выявлено ещё несколько опасных уязвимостей:

  • Januscape (CVE-2026-53359) - обращение к памяти после её освобождения (use-after-free) в компонентах гипервизора KVM, выполняемых на стороне виртуальной машины для эмуляции блока управления памятью (MMU) и трансляции адресов между хостом и гостевой системой. Уязвимость проявляется на системах с процессорами Intel и AMD и позволяет получить доступ с правами root к хост-окружению при наличии доступа с правами root в гостевой системе.

    Для загрузки доступен прототип экспоита, повреждающий содержимое структуры данных на стороне хост-системы, применяемой при трансляции адресов. Опубликованный эксплоит приводит к аварийному завершению хост-системы, но по заявлению выявившего проблему исследователя, он также создал эксплоит для выполнения кода на стороне хост-окружения с правами root, но пока не публикует его, чтобы дать время на установку обновлений.

    Проблема вызвана ошибкой, допущенной 16 лет назад, и устранена в обновлениях 7.1.3, 6.18.38, 6.12.95, 6.6.144 и 6.1.177. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. За выявление уязвимости исследователь получил от Google вознаграждение в 250 тысяч долларов в рамках инициативы kvmCTF.

    Для выхода из гостевой системы на серверах на процессорами ARM64 тем же исследователем выявлена другая уязвимость ITScape (CVE-2026-46316), вызванная состоянием гонки в коде эмуляции vGIC-ITS (Interrupt Translation Service) в KVM. Для данной проблемы также опубликован прототип эксплоита.

  • Bad Epoll (CVE-2026-46242) - состояние гонки, приводящее к обращению к памяти после её освобождения, в подсистеме ядра epoll. Уязвимость позволяет локальному непривилегированному пользователю выполнить код с правами root. Проблема примечательна тем, что даёт возможность атаковать не только классические Linux-дистрибутивы, но и прошивки на базе платформы Android, а также не блокируется sandbox-изоляцией в Chrome. Рабочий эксплоит был продемонстрирован на соревновании kernelCTF (Google выплатил автору $71337). Надёжность работы эсплоита оценена в 99%.

    Проблема проявляется начиная с ядра Linux 6.4 (2023 год). О проблеме было сообщено разработчикам ядра 17 февраля, но исправление удалось разработать после нескольких неудачных попыток только 24 апреля. Проблема устранена в ядрах 6.18.24, 6.12.83, 6.6.136. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.

  • CVE-2026-46215 - обращение к памяти после её освобождение в реализации ioctl DRM_IOCTL_GEM_CHANGE_HANDLE в подсистеме DRM (Direct Rendering Manager). Локальный пользователь, имеющий доступ к устройствам /dev/dri/renderD* (сервис systemd-logind предоставляет доступ всем пользователям при запуске графического сеанса во всех крупных дистрибутивах), может получить права root в системе. Имеется эксплоит. Проблема проявляется начиная с ядра 6.18 и устранена в обновлениях 7.0.9 и 6.18.32. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: PEdit-CoW и DirtyClone - уязвимости в ядре Linux, позволяющие получить root через изменение страничного кэша
  3. OpenNews: CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root
  4. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
  5. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
  6. OpenNews: Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65880-kernel
Ключевые слова: kernel, securty
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:03, 11/07/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     
  • 1.2, Аноним (2), 14:05, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >При использовании в сочетании с другими уязвимостями в браузерах, выявленная проблема может применяться для удалённого выполнения кода с правами root при открытии специально оформленной web-страницы. Проблема проявляется начиная с ядра Linux 2.6.39 (2011 год).

    Это что, получить рут на телефоне можно просто пройдя по ссылке? Никогда рутование андроида не было таким простым.

     
     
  • 2.6, Халявщик не корпораст (?), 14:56, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только рут будет не для того юзера телефона, а для другого...
     
  • 2.13, Аноним (13), 15:48, 11/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.3, Аноним (3), 14:06, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    ну рут в госте это фактически рут на хосте, тут ничего удивительного
     
  • 1.4, Аноним (4), 14:24, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Masturbating monkey, говорите?
     
  • 1.5, Anonnn (?), 14:36, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну хоть латают быстро, только и успевай обновления накатывать.
     
     
  • 2.9, Аноним (9), 15:17, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, быстро работают:
    https://www.kernel.org
     

  • 1.7, Аноним (7), 15:13, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не понял, по описанию какая то эпичная уязвимость и  все молчат в комментариях? побежали обновляться что ли?
    для такой штуки как то мало денег дали в награду за находку
     
  • 1.8, Аноним (8), 15:17, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблема лежит в самой основе - сырая поделка финского студента обречена навсегда оставаться такой сырой.
     
     
  • 2.10, Аноним (7), 15:18, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    есть что то более готовое?
     
  • 2.11, dannyD (?), 15:25, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    профессор Таненбаум, вы забыли залогинится (
     
  • 2.12, Аноним (12), 15:36, 11/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Вот не надо эти националистские штучки. Студент он и в Африке студент.
     

  • 1.14, Аноним (14), 15:49, 11/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    очередное доказательсво что 2.6.32 было лучшее ведро
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру