Банк данных угроз безопасности информации (BDU) официально подтвердил информацию о двух опасных уязвимостях в ядре операционной системы Linux. Обе проблемы получили высокие оценки критичности по международной шкале CVSS - 9,1 балла из 10 возможных. Это означает, что атаки могут быть проведены удалённо, без какой-либо аутентификации, и способны привести к катастрофическим последствиям для серверной инфраструктуры.
Детали уязвимостей
Первая уязвимость, зарегистрированная под идентификатором BDU:2026-08901 (CVE-2026-46244), обнаружена в функции nft_inner_parse_l2l3() модуля net/netfilter/nft_inner.c. Если говорить просто, то речь идёт об ошибке в подсистеме фильтрации сетевых пакетов Netfilter - это компонент ядра, который отвечает за межсетевой экран и трансляцию адресов. Проблема связана с некорректной обработкой IPv6-пакетов. Из-за смещения указателя за границы выделенной памяти злоумышленник, отправив специально сформированный сетевой пакет, может либо полностью остановить работу сервера (вызвать отказ в обслуживании), либо получить несанкционированный доступ к защищаемой информации. Тип ошибки классифицируется как CWE-823 (использование указателя вне допустимого диапазона).
Вторая уязвимость - BDU:2026-08902 (CVE-2026-46266) - затрагивает ещё более фундаментальные компоненты ядра: модули net/ipv4/icmp.c и net/ipv6/icmp.c. Они отвечают за обработку протокола ICMP - того самого, который используется для диагностики сети (например, команда ping). Ошибка заключается в недостаточной проверке входных данных (CWE-1287). Атакующий может с помощью манипуляции ресурсами заставить ядро неправильно обработать ICMP-сообщение, что приведёт к полной остановке системы. В отличие от первой уязвимости, эта не позволяет похитить данные - она нацелена исключительно на нарушение доступности сервисов.
Что особенно тревожно, так это широта охвата уязвимого программного обеспечения. Обе проблемы подтверждены производителями и затрагивают операционные системы семейства Red Hat Enterprise Linux (версии 7, 8, 9 и 10), а также Debian GNU/Linux 13. Кроме того, в зоне риска находятся все дистрибутивы, использующие ядро Linux в диапазоне от версии 2.6.12 (для второй уязвимости) до версии 7.1-rc5. Это означает, что уязвимы не только новейшие серверные сборки, но и достаточно старые системы, которые продолжают эксплуатироваться в корпоративном секторе.
Давайте разберёмся, почему эти уязвимости так опасны на практике. Первое - векторы атак в системе оценки CVSS 3.1 указывают на удалённый характер (AV:N - Attack Vector Network). Злоумышленнику не требуется иметь физический доступ к серверу или локальную учётную запись. Ему достаточно отправить пакет из интернета или из соседнего сегмента сети. Второе - сложность эксплуатации оценивается как низкая (AC:L - Attack Complexity Low). Это значит, что не требуется специальных условий или сложных цепочек действий. Третье - отсутствие необходимости в правах доступа (PR:N - Privileges Required None). Атака может быть проведена любым пользователем или даже автоматизированным скриптом.
Для CVE-2026-46244 опасность усугубляется тем, что уязвимость может привести к утечке данных. Потенциально злоумышленник может прочитать содержимое памяти ядра, включая ключи шифрования, пароли или фрагменты обрабатываемых данных. Для CVE-2026-46266 основной удар приходится на доступность - атака может вывести из строя критически важные серверы.
Хорошая новость в том, что производители уже выпустили исправления. Разработчики ядра Linux опубликовали соответствующие патчи в официальном репозитории (git.kernel.org). Компания Red Hat также предоставила обновления через свою систему безопасности. Пользователям Debian рекомендуется отслеживать страницу security-tracker.debian.org. Владельцам серверов, работающих под управлением Red Hat Enterprise Linux или Debian, следует немедленно запланировать установку обновлений. Если это невозможно по каким-то причинам, например, из-за требований к стабильности или отсутствия поддержки со стороны вендора, стоит обратиться к методическому документу ФСТЭК России от 25 декабря 2022 года, содержащему рекомендации по безопасной настройке операционных систем Linux.
В целом, эта пара уязвимостей напоминает нам, что даже самые зрелые и стабильные компоненты операционных систем могут содержать опасные ошибки. Netfilter и ICMP существуют в ядре десятилетиями, но проблемы всё равно возникают. Системным администраторам стоит как можно скорее провести инвентаризацию затронутых хостов и применить патчи. В условиях, когда эксплойты могут появиться в открытом доступе в любой момент, задержка с обновлением чревата серьёзными последствиями.
Ссылки
- https://bdu.fstec.ru/vul/2026-08901
- https://bdu.fstec.ru/vul/2026-08902
- https://www.cve.org/CVERecord?id=CVE-2026-46244
- https://www.cve.org/CVERecord?id=CVE-2026-46266
- https://lore.kernel.org/linux-cve-announce/2026060309-CVE-2026-46244-e8d7@gregkh/
- https://lore.kernel.org/linux-cve-announce/2026060337-CVE-2026-46266-1e5e@gregkh/
- https://security-tracker.debian.org/tracker/CVE-2026-46244
- https://access.redhat.com/security/cve/cve-2026-46244
- https://security-tracker.debian.org/tracker/CVE-2026-46266
- https://access.redhat.com/security/cve/cve-2026-46266