Две критические уязвимости в ядре Linux: под угрозой серверы на Red Hat и Debian

vulnerability

В реестре уязвимостей Банка данных угроз безопасности информации (BDU) появились записи сразу о двух опасных дефектах в ядре операционной системы Linux. Обе уязвимости получили подтверждение от производителей, и для них уже выпущены исправления. Однако масштаб поражаемых систем вызывает серьёзные опасения. Речь идёт о версиях ядра, используемых в дистрибутивах Red Hat Enterprise Linux (RHEL), Debian GNU/Linux, а также в ядре Linux. Это означает, что под ударом могут оказаться миллионы серверов по всему миру - от корпоративных ЦОД до облачных инфраструктур и устройств интернета вещей.

Детали уязвимостей

Первая уязвимость зарегистрирована под идентификатором BDU:2026-08759 (CVE-2026-31682). Она относится к категории CWE-125 (чтение за границами буфера в памяти). Ошибка допущена в функции br_nd_send(), которая отвечает за обработку определённых сетевых пакетов в стеке мостового соединения. Если говорить проще, злоумышленник может отправить специально сформированный сетевой запрос на уязвимую машину, и ядро выйдет за пределы выделенной области памяти. Это способно привести к утечке конфиденциальных данных, так как в результате такого чтения могут быть раскрыты фрагменты оперативной памяти, принадлежащие другим процессам. Более того, нарушение целостности памяти нередко позволяет атакующему полностью остановить работу системы. По шкале CVSS 3.1 базовая оценка составила 9,1 балла - это критический уровень опасности. Для эксплуатации не требуется аутентификация, а сама атака может проводиться удалённо. Список уязвимых версий включает Red Hat Enterprise Linux с 7-й по 10-ю, Debian GNU/Linux 11, 12, 13, а также широкий диапазон ядер: от 4.15 до самой свежей ветки 6.19. Учитывая, что RHEL и Debian - одни из самых популярных серверных платформ в корпоративном секторе и государственных информационных системах, масштаб угрозы трудно переоценить.

Вторая уязвимость, BDU:2026-08760 (CVE-2026-31685), связана с функцией eui64_mt6(). Здесь тип ошибки - CWE-697 (недостаточное сравнение) и CWE-1287 (недостаточная проверка типа входных данных). Данная функция задействована в механизме формирования IPv6-адресов по стандарту EUI-64. Из-за того что ядро некорректно обрабатывает определённые входные данные, удалённый нарушитель может вызвать так называемый отказ в обслуживании. Простыми словами, злоумышленник способен отправить сетевой пакет, после которого сервер зависнет или перестанет отвечать на запросы. Базовый вектор CVSS 3.1 дал этой проблеме оценку 9,4 балла (также критический уровень). Поражаемый диапазон оказался ещё шире: он охватывает версии ядра, начиная с 2.6.12 (выпущенной ещё в 2005 году) и до 6.12.83, а также ряд специальных сборок RHEL для высоконагруженных систем и решений SAP. Таким образом, под угрозой оказались даже давно не обновлявшиеся системы, которые администраторы могли считать безопасными.

Что объединяет обе уязвимости? Во-первых, это дефекты именно в коде ядра, а не в конфигурации. Это значит, что никакое ужесточение настроек безопасности не закроет брешь - требуется установка патча. Во-вторых, производители операционных систем (сообщество разработчиков Linux, Red Hat и Debian) уже выпустили необходимые обновления. Ссылки на исправляющие коммиты опубликованы в открытом доступе. Для Debian обновления доступны через официальный трекер безопасности, для RHEL - на портале Red Hat Customer Portal. В-третьих, данные о наличии готового эксплойта пока уточняются, но учитывая высокий интерес исследователей к ядру Linux, появление рабочей программы-эксплойта - лишь вопрос времени.

Чем опасна ситуация для бизнеса и государства? Прежде всего, это риск нарушения конфиденциальности данных. Если злоумышленник сможет прочитать чужую память (CVE-2026-31682), он получит доступ к паролям, ключам шифрования, содержимому сессий и другой критической информации. В случае с отказом в обслуживании (CVE-2026-31685) под ударом оказываются веб-серверы, базы данных, облачные сервисы. Даже кратковременный простой может привести к финансовым потерям для интернет-магазинов, банковских систем, транспортных операторов. Особенно опасны такие уязвимости для сегментов критической информационной инфраструктуры, где часто применяются сертифицированные дистрибутивы на основе RHEL или Debian.

Специалистам по безопасности стоит немедленно провести инвентаризацию всех систем с ядром Linux. Уязвимые версии следует обновить как можно быстрее. Для тех, кто не может установить патч немедленно (например, из-за длительных процедур тестирования), в документации ФСТЭК России приведены рекомендации по безопасной настройке операционных систем Linux. В качестве временной меры также можно ограничить доступ к сетевым сервисам по протоколам, задействующим уязвимые функции, но это не гарантирует полной защиты. В любом случае отсрочка с установкой обновлений сейчас крайне рискованна.

Ссылки

Комментарии: 0