Архив метки: DirtyDecrypt

Майский Linux Patch Wednesday

Добавить комментарий

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday. Всего 1638 уязвимостей (474 в ядре Linux). Для сравнения, в апреле было 1035 уязвимостей (рекорд!). А в этот раз получается снова рекорд и более чем в полтора раза больше! Ускорение впечатляет и пугает. Но посмотрим, что дальше будет. Где-то оно должно стабилизироваться. Хотя количество критичных уязвимостей уже такое, что все их рассмотреть становится весьма проблематично. Для 7 уязвимостей есть признаки эксплуатации вживую. А ещё для 264 есть публичные эксплойты. Начнём, как обычно, с эксплуатирующихся уязвимостей по данным CISA KEV и VulnCheck KEV. Здесь в топе, ожидаемо, два громких способа получить root shell:

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431)
🔻 EoP - Linux Kernel "Dirty Frag" (CVE-2026-43500)

Остальные эксплуатирующиеся:

🔻 RCE - Apache ActiveMQ (CVE-2026-40466). Судя по описанию, это обход фикса для CVE-2026-34197, о которой я уже писал ранее.

🔻 AuthBypass - Rclone (CVE-2026-41176). Rclone ("rsync для облачных хранилищ") - это консольная утилита для синхронизации файлов и каталогов между различными облачными хранилищами и локальными системами. Эксплуатация уязвимости может привести к несанкционированному доступу к чувствительной административной функциональности, включая функции настройки и удалённого управления.

🔻 RCE - NGINX (CVE-2026-42945). Уязвимость позволяет без аутентификации выполнять код на сервере при использовании директив rewrite и set.

🔻 DoS - PgBouncer (CVE-2026-6664). PgBouncer - это компактный инструмент с открытым исходным кодом для пуллинга соединений с базами данных PostgreSQL. Он снижает накладные расходы на установку соединений, управляя пулом подключений к одному или нескольким серверам PostgreSQL, что повышает производительность и эффективность использования ресурсов в приложениях с частыми короткоживущими подключениями к базе данных. Целочисленное переполнение (integer overflow) в коде разбора сетевых пакетов в версиях PgBouncer до 1.25.2 позволяет обойти проверку границ (boundary check) и может привести к аварийному завершению процесса.

🔻 XSS - Postorius (CVE-2026-44742). Postorius - это веб-интерфейс на базе Django для работы с GNU Mailman. Mailman представляет собой свободное программное обеспечение для управления списками рассылки электронной почты, включая дискуссионные группы и новостные рассылки. Уязвимость эксплуатируется в атаках, согласно VulnCheck KEV, однако публичного эксплоита пока не видно.

Из остальных уязвимостей с эксплоитом, но пока без признаков эксплуатации в реальных атаках можно выделить:

🔸 RCE - Apache HTTP Server (CVE-2026-23918). Ошибка двойного освобождения памяти (double-free) в механизме очистки потоков модуля mod_http2 Apache httpd, приводящая к возможности удалённого выполнения кода без предварительной аутентификации (pre-auth RCE).

🔸 RCE - Apache Tomcat (CVE-2026-34486). Модуль кластерных коммуникаций Apache Tomcat Tribes некорректно обрабатывает ошибки расшифрования в EncryptInterceptor и не отбрасывает соответствующие сообщения, что позволяет неаутентифицированному атакующему выполнить произвольный код через механизм десериализации Java на порту 4000.

🔸 RCE - ProFTPD (CVE-2026-42167). Ошибка в обработке некоторых переменных журналирования (например, %U) модулем mod_sql позволяет неаутентифицированному атакующему выполнить SQL-инъекцию через команду USER.

🔸 EoP - Linux Kernel "DirtyDecrypt" (CVE-2026-31635). Локальная уязвимость повышения привилегий в Linux в цепочке расшифрования RxRPC/GSSAPI. Отсутствие проверки skb_cow_data() в rxgk_decrypt_skb() позволяет непривилегированному локальному атакующему перезаписывать в памяти (в page cache) содержимое файлов, доступных только для чтения.

🔸 EoP - Linux Kernel "Fragnesia" (CVE-2026-46300). Эту уязвимость я тоже уже разбирал ранее. Ошибка в skb_try_coalesce() позволяет осуществлять запись в page cache через фрагментированные ESP-пакеты.

🔸 EoP - Linux Kernel (CVE-2026-46333). Локальное повышение привилегий до root и раскрытие учётных данных в Linux Kernel ptrace Path, обнаруженное исследователями Qualys.

🔸 EoP - PackageKit "Pack2TheRoot" (CVE-2026-41651). PackageKit - это программный комплекс с открытым исходным кодом, предназначенный для предоставления унифицированного высокоуровневого слоя абстракции над различными системами управления пакетами. Уязвимость позволяет атакующему получить root-доступ и скомпрометировать систему.

🔸 ComInj - Composer (CVE-2026-40261, CVE-2026-40176). Composer - это менеджер зависимостей для PHP. Уязвимость присутствует в методе Perforce::generateP4Command(). Из-за недостаточной очистки параметров конфигурации репозитория (таких как url, p4user или client) при формировании shell-команд атакующий, контролирующий файл composer.json, может выполнить произвольные команды в системе жертвы при выполнении composer install или composer update.

🗒 Полный отчёт Vulristics

Новая EoP уязвимость "CIFSwitch" в Linux позволяет получить права root в нескольких дистрибутивах

Добавить комментарий

Новая EoP уязвимость CIFSwitch в Linux позволяет получить права root в нескольких дистрибутивах

Новая EoP уязвимость "CIFSwitch" в Linux позволяет получить права root в нескольких дистрибутивах. Подвержены дистрибутивы Linux с уязвимыми комбинациями ядра CIFS (реализации протокола CIFS/SMB непосредственно в ядре Linux) и пакета cifs-utils (версии 6.14 и выше, хотя некоторые более старые версии также подвержены). CIFS (Common Internet File System) - это сетевой протокол, который позволяет получать доступ к файлам, папкам и устройствам в локальной сети. В Linux он используется для монтирования, чтения и записи данных с удалённых систем.

Уязвимость обнаружил Асим Вилади Оглу Манизада (Asim Viladi Oglu Manizada), инженер по безопасности SpaceX. Он опубликовал подробный технический отчёт, объясняющий причину проблемы, а также PoC эксплоита. Присвоение CVE-идентификатора всё ещё ожидается. Манизада утверждает, что CIFSwitch существует уже 19 лет (с 2007 года). Он добавляет, что уязвимость "не универсальна", и её эксплуатация зависит от ряда факторов, включая уязвимую версию ядра. Дополнительные требования включают наличие уязвимой версии cifs-utils, доступность user namespaces, а также политики SELinux/AppArmor, которые не блокируют атаку.

Некоторые дистрибутивы уязвимы в конфигурации по умолчанию:

🔻 Linux Mint 21.3 / 22.3
🔻 CentOS Stream 9
🔻 Rocky Linux 9
🔻 AlmaLinux 9
🔻 Kali Linux 2021.4–2026.1
🔻 SLES 15 SP7

Исследователь отметил, что различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.

Однако есть дистрибутивы, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию CIFSwitch:

🔹 Ubuntu 26.04
🔹 Fedora 40–44
🔹 CentOS Stream 10
🔹 Rocky Linux 10
🔹 SLES 16
🔹 AlmaLinux 10
🔹 openSUSE Leap 16

Также Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 не подвержены атаке, так как их версии cifs-utils не содержат функциональности переключения namespace.

CIFSwitch был исправлен патчем ядра, который добавляет проверку происхождения запросов cifs.spnego (upstream commit 3da1fdf), однако точные версии ядра с этим исправлением зависят от дистрибутива. Исследователь рекомендует пользователям отключить или занести в чёрный список модуль CIFS, если он не используется, удалить пакет cifs-utils при ненадобности, а также отключить непривилегированные user namespaces.

CIFSwitch - последняя из недавно раскрытых уязвимостей повышения привилегий в Linux. К этой же серии относятся Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt и PinTheft.