В Банке данных угроз безопасности информации (BDU) зарегистрировали критическую уязвимость, затрагивающую ядро интерпретатора Perl. Эта проблема получила идентификатор BDU:2026-07638 и международный код CVE-2026-8376. Она представляет серьезную опасность для огромного количества серверов по всему миру. Ведь Perl до сих пор остается одним из ключевых языков для системного администрирования, обработки текстов и работы веб-приложений.
Детали уязвимости
В основе уязвимости лежит ошибка в функции Perl_study_chunk(). Механизм её работы таков: в коде возникает целочисленное переполнение. Простыми словами, это ситуация, когда число в компьютерной памяти превышает максимально допустимое значение и неожиданно обнуляется или становится отрицательным. В данном случае это провоцирует переполнение буфера. Последствия могут быть катастрофическими: злоумышленник, действующий удаленно, получает возможность выполнить на атакуемой системе произвольный код. Причем для этого ему не нужна аутентификация, а сама атака не требует сложных условий.
Оценка по стандарту CVSS версии 3.1 составила 9,8 балла из 10. Это максимальный критический уровень опасности. Такой показатель означает, что уязвимость легко эксплуатируется, а её последствия включают полный компрометацию конфиденциальности, целостности и доступности системы. Более того, в открытом доступе уже существует эксплойт - готовая программа, автоматизирующая атаку. Это многократно увеличивает риски, ведь даже неопытные злоумышленники могут воспользоваться готовым инструментом.
Список уязвимых систем впечатляет. Под удар попали все основные версии дистрибутива Ubuntu от 14.04 LTS до 26.04 LTS. Сюда же входят Debian GNU/Linux версий 11, 12 и 13, а также Amazon Linux 2 и Amazon Linux 2023. Речь идёт о миллионах серверов, включая облачные инфраструктуры, хостинг-площадки, корпоративные сети. Сама проблема кроется в языке Perl версий до 5.43.10 включительно. При этом уязвимость затрагивает не только 32-разрядные системы, но и современные 64-разрядные платформы.
Тип ошибки классифицирован как CWE-680: переполнение буфера в связи с целочисленным переполнением. Механизм эксплуатации предполагает манипулирование структурами данных. Это значит, что атакующий может отправить специально сформированные данные, которые при обработке функцией Perl_study_chunk() вызовут сбой в управлении памятью. Далее вредоносный код получает контроль над процессом.
Чем эта атака опасна для бизнеса? Представьте, что Perl используется для обработки логов, управления конфигурациями сетевого оборудования, автоматизации развертывания приложений. В некоторых организациях на нём написаны критические модули для биллинга, мониторинга или систем управления базами данных. В случае успешной атаки злоумышленник может внедрить постоянное закрепление в системе (persistence), украсть учётные данные, установить программы-вымогатели (ransomware) или использовать сервер как точку для дальнейшего продвижения по сети. Особенно уязвимы облачные среды, где одна скомпрометированная машина может стать входом в целый кластер.
Для администраторов и специалистов по информационной безопасности это означает необходимость срочных действий. Производители уже выпустили исправления. Разработчики Perl подготовили патч, который доступен в официальном репозитории на GitHub. Разработчики дистрибутивов Ubuntu, Debian и Amazon Linux также опубликовали обновления для своих пакетов. Статус уязвимости подтверждён производителем, а способ устранения стандартен - требуется обновление программного обеспечения.
На практике это значит, что каждый администратор должен проверить версию Perl на своих серверах. Если она попадает в указанный диапазон, необходимо установить патч. В системах с пакетным менеджером apt-get (для Ubuntu и Debian) достаточно выполнить команды обновления индекса пакетов и установки новой версии модуля perl. Для облачных инстансов Amazon Linux обновление также доступно через штатные механизмы.
Важно подчеркнуть, что угроза носит глобальный характер. Perl входит в базовую поставку практически всех Unix-подобных операционных систем. Это не просто библиотека, которую можно отключить. Это обязательный компонент для работы множества служебных скриптов. Даже если вы сами не пишете на Perl, ваша система может быть уязвимой, потому что под капотом многие инструменты, например, преобразователи имён (resolvers) DNS или системы резервного копирования, используют этот язык. Эксперты рекомендуют не откладывать обновление. Наличие публичного эксплойта делает уязвимость легкой мишенью для автоматизированных сканеров.
Подводя итог: критическая уязвимость в Perl с кодом CVE-2026-8376 требует немедленного внимания. Её эксплуатация позволяет удалённо выполнить код без аутентификации. Под ударом находятся все современные версии Ubuntu, Debian и Amazon Linux. Патчи уже выпущены. Единственный способ защититься - оперативно установить обновления. Промедление в данном случае может стоить целостности всей инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-07638
- https://www.cve.org/CVERecord?id=CVE-2026-8376
- https://github.com/Perl/perl5/commit/5e7f119eb2bb1181be908701f22bf7068e722f1c.patch
- https://www.openwall.com/lists/oss-security/2026/05/26/1
- https://github.com/Perl/perl5
- https://github.com/Perl/perl5/pull/24433/commits/3cbe633732eee74fd727dae2348a1a815ddb43be
- https://security-tracker.debian.org/tracker/CVE-2026-8376
- https://explore.alas.aws.amazon.com/CVE-2026-8376.html
- https://osv.dev/vulnerability/UBUNTU-CVE-2026-8376
