Банк данных угроз безопасности информации (BDU) зафиксировал две крайне опасные уязвимости в ядре операционной системы Linux. Обе проблемы получили статус критических по шкале CVSS. Первая из них, идентифицированная как BDU:2026-07832 (CVE-2026-43037), представляет собой классическую ошибку записи за границами буфера. Она обнаружена в функции ip4ip6_err(), которая отвечает за обработку ошибок туннелирования трафика в подсистеме IPv6. Вторая уязвимость, BDU:2026-07833 (CVE-2026-43039), связана с отсутствием корректной инициализации ресурсов и затрагивает драйвер промышленного Ethernet-интерфейса icssg-prueth. На первый взгляд это разные технические дефекты, однако их объединяет одно: обе позволяют злоумышленнику действовать удалённо и без какой-либо аутентификации.
Детали уязвимости
Важно понимать, что ошибка записи за границами буфера (CWE-787) возникает, когда программа пытается поместить данные в область памяти за пределами выделенного ей пространства. Это грубейший дефект, характерный для низкоуровневых языков, таких как С. В данном случае он находится в компоненте, обрабатывающем IP-туннели. Именно такие уязвимости чаще всего ведут к выполнению произвольного кода. Иными словами, злоумышленник может отправить специально сформированный сетевой пакет на уязвимый сервер. Если пакет пройдёт проверку, ядро, обрабатывая его, выйдет за границы выделенного буфера и перезапишет соседние участки памяти. Затем атакующий может вставить туда свой вредоносный код и заставить систему выполнить его с максимальными привилегиями ядра. Очевидно, что это открывает путь к полному захвату контроля над атакуемой машиной.
Вторая уязвимость формально классифицируется как отсутствие инициализации ресурса (CWE-909). Её суть проще: драйвер icssg-prueth запускает некую операцию, не обнулив предварительно важные переменные или не настроив оборудование. Из-за этого система может перейти в нестабильное состояние. Правда, в отличие от первой бреши, эксплуатация этой уязвимости, скорее всего, приведёт не к выполнению кода, а к отказу в обслуживании. Сервер или сетевое оборудование просто зависнут или перезагрузятся. Но и такой сценарий критичен для промышленных систем и дата-центров.
Круг уязвимых систем чрезвычайно широк. В первую очередь под ударом оказались корпоративные дистрибутивы Red Hat Enterprise Linux (версии 7, 8, 9 и 10, включая продвинутые сборки с расширенной поддержкой). Следом идёт вся популярная линейка Canonical Ubuntu - от версии 16.04 LTS до свежей 25.10. Не повезло и Debian GNU/Linux - под угрозой одиннадцатая, двенадцатая и даже тринадцатая версии. Наконец, в списке значатся и отечественные разработки: операционная система "АЛЬТ СП 10" от компании "ИВК". Что касается самой архитектуры ядра, уязвимость CVE-2026-43037 присутствует в гигантском диапазоне версий: начиная с 2.6.22 и заканчивая 6.19.12. Это означает, что она затрагивает буквально миллионы устройств по всему миру - от старых серверов, работающих годами без обновления, до современных облачных инстансов.
Обе уязвимости подтверждены производителями и уже устранены в актуальных версиях ядра. Разработчики выпустили патчи, которые закрывают дыры. Все ссылки на исправления опубликованы в открытых репозиториях. В частности, для Red Hat обновления доступны через официальный портал безопасности, для Ubuntu - через стандартный канал уведомлений, для Debian - через трекер безопасности. Отдельный патч появился в публичном репозитории для операционной системы "Альт".
Специалистам по информационной безопасности и системным администраторам стоит действовать незамедлительно. Лучший способ защиты - установить обновления ядра на всех уязвимых узлах: серверах, рабочих станциях, сетевом оборудовании и встроенных системах, использующих Linux. Однако стоит помнить, что установка нового ядра обычно требует перезагрузки. В критических инфраструктурах, где простой недопустим, необходимо разработать план поочерёдного обновления. Если по каким-то причинам установить патч прямо сейчас невозможно, следует временно ограничить доступ к уязвимым службам с помощью правил брандмауэра. Рекомендуется заблокировать приём внешнего трафика на тех интерфейсах, которые не должны быть открыты из глобальной сети. Также стоит обратить внимание на отключение неиспользуемых модулей ядра, отвечающих за туннелирование, если это допускается архитектурой системы.
В целом, эти два инцидента лишний раз напоминают о том, насколько хрупкой может быть безопасность даже самого зрелого и проверенного кода. Уязвимости в ядре - это бомба замедленного действия. Они не всегда заметны на ранних стадиях, но их последствия могут быть катастрофическими. Благо, на этот раз реакция разработчиков была быстрой. Теперь слово за системными администраторами, которым предстоит непростая задача: применить патчи без остановки производственных процессов.
Ссылки
- https://bdu.fstec.ru/vul/2026-07832
- https://bdu.fstec.ru/vul/2026-07833
- https://www.cve.org/CVERecord?id=CVE-2026-43037
- https://www.cve.org/CVERecord?id=CVE-2026-43039
- https://git.kernel.org/stable/c/1063515ce15ff31065c4e7f8265f4c2fd3c54876
- https://git.kernel.org/stable/c/2cc6e3b0fe0f0242d1f530a93a4924f48ab85ba5
- https://git.kernel.org/stable/c/2edfa31769a4add828a7e604b21cb82aaaa05925
- https://git.kernel.org/stable/c/4a622658f384b03560834cbe8ffcfe69a278f7c8
- https://git.kernel.org/stable/c/590f622669b97eaf7b57a1de7b0a6e68c5d8b2c3
- https://git.kernel.org/stable/c/a0c4ce9900a108eaf55d0f3b399cb55999647d39
- https://git.kernel.org/stable/c/d6621f60192fe10c047a4487be42a6f4c150707f
- https://git.kernel.org/stable/c/ea9f65b27c8404e164848ebff1443310fd187629
- https://lore.kernel.org/linux-cve-announce/2026050102-CVE-2026-43037-0346@gregkh/
- https://security-tracker.debian.org/tracker/CVE-2026-43037
- https://access.redhat.com/security/cve/cve-2026-43037
- https://ubuntu.com/security/CVE-2026-43037
- https://cve.basealt.ru/
- https://git.kernel.org/stable/c/5597dd284ff8c556c0b00f6a34473677426e3f81
- https://git.kernel.org/stable/c/a968438d4fc17ee1dcdc3cfa490dcb5e7709cf76
- https://lore.kernel.org/linux-cve-announce/2026050103-CVE-2026-43039-ff5c@gregkh/
