В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2026-09229 (CVE-2026-43501). Она затрагивает ядро операционной системы Linux и ставит под удар тысячи серверов по всему миру. Проблема кроется в компоненте, который отвечает за обработку заголовков исходной маршрутизации протокола IPv6 в соответствии со стандартом RFC 6554. Злоумышленник, находящийся на расстоянии, может без дополнительной аутентификации выполнить код и полностью скомпрометировать систему. Оценка по шкале CVSS версии 3.1 составляет 9,8 балла из десяти - это максимально близкий к абсолютному уровень опасности.
Детали уязвимости
Почему эта новость так важна? Дело в том, что под удар попали одни из самых распространённых корпоративных дистрибутивов. Среди уязвимых продуктов - Red Hat Enterprise Linux версий 9 и 10, Debian GNU/Linux 13, openSUSE Tumbleweed, а также целый ряд версий самого ядра Linux, начиная от ветки 6.6 и заканчивая кандидатом в релиз 7.1-rc1. Другими словами, почти любая современная система на Linux, где включена поддержка IPv6, потенциально может быть атакована. При этом эксплуатация не требует сложных подготовительных действий: достаточно отправить специально сформированный сетевой пакет.
Суть ошибки - выход операции за границы буфера в памяти. Говоря проще, при разборе входящих IPv6-пакетов с расширенным заголовком маршрутизации ядро неправильно вычисляет размер данных. Из-за этого часть информации может быть записана за пределами выделенной области, что открывает дорогу к перезаписи критических структур ядра. Именно так работают многие атаки на уровне операционной системы: нарушитель получает возможность не только читать содержимое памяти, но и изменять его, а затем - выполнять произвольные команды. Вектор атаки описан как "манипулирование структурами данных", что указывает на классический сценарий использования переполнения буфера.
Поскольку проблема находится в самом ядре, она затрагивает не только серверы, но и рабочие станции, встраиваемые системы, облачные экземпляры. Любое устройство, которое обрабатывает IPv6-трафик, становится целью. При этом для успешной атаки не требуется наличие учётной записи на целевой машине. Достаточно, чтобы она была подключена к сети, через которую можно отправлять пакеты. Показатели CVSS единодушны: вектор AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H означает, что атака возможна удалённо, сложность низкая, привилегии не нужны, взаимодействие с пользователем отсутствует, конфиденциальность, целостность и доступность нарушаются полностью.
Разработчики ядра и вендоры дистрибутивов уже отреагировали. Уязвимость подтверждена производителями, и выпущены исправления. В официальные репозитории ядра добавлены патчи, ссылки на которые приведены в рекомендациях. Например, в git-репозиторий ядра вошли пять коммитов, закрывающих брешь в разных стабильных ветках. Компания Red Hat опубликовала бюллетень безопасности на своём портале доступа, SUSE - на странице SUSE Security, а команда Debian обновила трекер уязвимостей. Администраторам настоятельно рекомендуют как можно скорее обновить ядро до версий, не содержащих ошибку: для ветки 6.6 - до версии 6.6.139 и новее, для ветки 6.12 - до 6.12.85, для ветки 6.18 - до 6.18.26, для версий 7.0 - до 7.0.3, а для кандидата в релиз 7.1 - перейти на финальную версию.
В условиях, когда обновление безопасности недоступно (например, если система не поддерживается или патч ещё не интегрирован), ФСТЭК России рекомендует придерживаться методического документа по безопасной настройке операционных систем Linux, утверждённого 25 декабря 2022 года. Впрочем, сейчас все крупные вендоры уже предоставили патчи, поэтому долго ждать не придётся.
Последствия для бизнеса могут быть самыми серьёзными. Если злоумышленник успеет проэксплуатировать уязвимость до установки обновления, он получит полный контроль над сервером. Это означает утечку конфиденциальных данных, возможность шифрования информации программами-вымогателями, остановку критически важных сервисов. Учитывая, что атака не требует аутентификации, автоматические сканеры в интернете могут быстро выявить уязвимые хосты. Поэтому затягивать с обновлением не стоит.
Уязвимость затрагивает не только серверные дистрибутивы, но и пользовательские системы, такие как свежие версии Fedora, Arch Linux или Ubuntu, если они используют ядро из затронутого диапазона. Впрочем, Debian 13 и Red Hat Enterprise Linux 10 только входят в стадию активного использования - их пользователи особенно уязвимы, так как новые версии ядра могут содержать больше непроверенных изменений.
Подводя итог, можно сказать: CVE-2026-43501 - классический пример удалённой уязвимости в критическом компоненте ядра, которая требует немедленного внимания. Команды безопасности должны провести инвентаризацию систем на Linux, проверить версию ядра и применить обновления. Игнорирование этой угрозы с высокой вероятностью приведёт к компрометации инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-09229
- https://www.cve.org/CVERecord?id=CVE-2026-43501
- https://www.suse.com/security/cve/CVE-2026-43501.html
- https://security-tracker.debian.org/tracker/CVE-2026-43501
- https://access.redhat.com/security/cve/cve-2026-43501
- https://git.kernel.org/stable/c/4babc2d9fda2df43823b85d08a0180b68f1b0854
- https://git.kernel.org/stable/c/7398ebefbfd4f8a31d4f665a4213302fa995494b
- https://git.kernel.org/stable/c/8e8be63465a5e80394c70324603dfea1bfdad48f
- https://git.kernel.org/stable/c/9e6bf146b55999a095bb14f73a843942456d1adc
- https://git.kernel.org/stable/c/c261d07a80576dc8ccf394ef8f074f8c67a06b37