В конце мая 2026 года корпорация Microsoft раскрыла информацию сразу о трёх уязвимостях, затрагивающих дистрибутив Azure Linux. Этот набор операционной системы на базе ядра Linux используется в облачной платформе Microsoft, а значит, проблема касается и разработчиков, и администраторов, развёртывающих контейнерные или виртуальные среды. Две из трёх уязвимостей связаны с библиотекой python-mistune, третья же, получившая максимальный балл по международной шкале опасности, затрагивает компонент kubevirt. Разберёмся, в чём суть инцидента и какие последствия он влечёт для пользователей облака.
Детали уязимостей
Начнём с хронологии. Первые два бюллетеня безопасности вышли 28 мая. Они описывают уязвимости в библиотеке python-mistune, которая используется для обработки разметки Markdown. Первая из них, CVE-2026-44896, классифицирована как проблема межсайтового скриптинга (XSS). Межсайтовый скриптинг - это тип атаки, при котором злоумышленник внедряет вредоносный код в веб-страницу, и этот код выполняется в браузере жертвы. В данном случае уязвимость заключалась в некорректной обработке параметров figclass и figwidth в директиве Figure: символы не экранировались должным образом, что позволяло вставить произвольный JavaScript-сценарий. Вторая уязвимость, CVE-2026-44899, также относится к категории XSS и связана с внедрением CSS-кода через директиву Image. Обе ошибки были обнаружены и присвоены GitHub как администратор CVE. Уровень опасности для CVE-2026-44899 оценён как умеренный (Moderate), для первой - низкий (Low). Тем не менее сочетание двух уязвимостей в одном компоненте создаёт дополнительные риски.
Куда серьёзнее ситуация с третьей уязвимостью - CVE-2026-7374. Она была раскрыта чуть позже, 31 мая, но уже 3 июня Microsoft выпустила обновление. Эта проблема затрагивает пакет kubevirt версии 1.7.1-2 (патч обновляет его до 1.7.1-6). Kubevirt - это дополнение к платформе контейнерной оркестрации Kubernetes, которое позволяет запускать виртуальные машины рядом с контейнерами. Уязвимость связана с неправильной обработкой символических ссылок (symlink). Если говорить простым языком, компонент kubevirt-virt-handler, отвечающий за управление виртуальными машинами на узле, при обработке файлов не проверял, не ведёт ли символическая ссылка на критически важные системные файлы. Злоумышленник, имеющий минимальные привилегии в кластере, мог создать специальную ссылку и заставить virt-handler выполнить произвольные действия от имени суперпользователя. В результате атакующий получал полный контроль над узлом - доступ к данным, возможность изменить конфигурацию и даже нарушить работу всех виртуальных машин на этом узле. По шкале CVSS эта уязвимость набрала 9,9 балла из 10, что соответствует критическому уровню. Вектор атаки - сетевой, сложность низкая, взаимодействие с пользователем не требуется. Единственное условие - у атакующего уже должен быть ограниченный доступ к кластеру.
Последствия для бизнеса очевидны. Если злоумышленник эксплуатирует CVE-2026-7374, он может скомпрометировать целый узел облачной инфраструктуры. В средах мультиарендности (когда на одном узле работают виртуальные машины разных клиентов) это грозит утечкой данных и нарушением изоляции. Даже если атака не приведёт к краже конфиденциальной информации, компрометация узла может стать отправной точкой для дальнейшего продвижения по сети. Учитывая, что kubevirt активно применяется в гибридных облаках, а также в решениях Microsoft Azure, риск затрагивает не только внутренние системы компании, но и её клиентов.
Рекомендуется как можно скорее установить обновления безопасности. Для Azure Linux 3.0 доступны исправления для python-mistune (новая версия 3.2.1-1) и для kubevirt (версия 1.7.1-6). Microsoft уже опубликовала бюллетени и соответствующие пакеты в репозиториях CBL-Mariner. Администраторам следует проверить версии установленных пакетов и применить патчи безотлагательно. Кроме того, стоит пересмотреть политику доступа к кластеру: настройка минимальных привилегий и сегментация сети могут снизить риск даже в случае наличия неисправленных уязвимостей. Хотя XSS в python-mistune не столь опасны, их тоже не стоит игнорировать - в веб-приложениях, использующих библиотеку, возможны кражи сессионных токенов и подмена контента.
В итоге мы видим, что Microsoft Azure Linux столкнулась с целым набором проблем: от классического межсайтового скриптинга до критической эскалации привилегий в kubevirt. Последняя угроза особенно серьезна, так как может привести к полной компрометации инфраструктуры. Реакция вендора была оперативной, но ответственность за безопасность конкретных развёртываний всё равно лежит на пользователях. Установка обновлений - минимально необходимое действие. В долгосрочной перспективе стоит внедрять дополнительные механизмы защиты: системы обнаружения вторжений (IDS), контроль целостности файлов и аудит логов. Только комплексный подход позволит минимизировать последствия подобных инцидентов в будущем.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-44896
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-44899
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7374
