Microsoft устранила множественные уязвимости в Azure Linux: закрыты критические ошибки в Ansible, GnuTLS и X.Org

Microsoft опубликовала серию бюллетеней безопасности, закрывающих 17 уязвимостей в компонентах операционной системы Azure Linux (ранее CBL-Mariner). Затронуты пакеты Ansible (система автоматизации и управления конфигурациями), GnuTLS (криптографическая библиотека), Perl DBI (интерфейс базы данных Perl), Perl HTML-Parser, rrdtool (инструмент для работы с циклическими базами данных) и X.Org X Server с его реализацией для Wayland - Xwayland. Большинству уязвимостей присвоен высокий уровень опасности по шкале CVSS.

Детали уязвимостей

Наиболее критичной оказалась проблема в Ansible (CVE-2026-11332, балл 7.8). Уязвимость заключается во внедрении аргументов при обработке файла meta/requirements.yml во время установки роли через команду ansible-galaxy role install. Злоумышленник, разместивший вредоносную роль в репозитории, может через поле src внедрить произвольные конфигурационные флаги git и добиться выполнения кода на машине пользователя, который установит эту роль. Для эксплуатации требуется локальный доступ и взаимодействие с пользователем, но оценка CVSS указывает на высокий потенциальный ущерб для конфиденциальности, целостности и доступности.

Сразу три уязвимости затронули библиотеку GnuTLS. Первая - CVE-2026-42012 (балл 7.1) - связана с обходом проверки сертификатов при обработке расширенных имен субъекта (SAN) типов URI и SRV. При определённых условиях процесс валидации некорректно переключается на проверку DNS-имён в общем имени (CN), что позволяет злоумышленнику подменить легитимный сервис. Вторая - CVE-2026-42013 (балл 8.2) - вызвана неправильной проверкой длины поля Subject Alternative Name: чрезмерно длинное значение также вызывает ошибочный откат к CN. Третья - CVE-2026-5260 (балл 8.2) - ведёт к утечке данных через короткое переполнение кучи при обработке предварительного секрета (premaster secret) во время RSA-обмена ключами на сервере, использующем аппаратный токен PKCS#11. Кроме того, обнаружена уязвимость CVE-2026-42015 (балл 5.3) - ошибка типа "off‑by‑one" при обработке PKCS#12‑контейнеров, приводящая к повреждению памяти и потенциальному отказу в обслуживании. Наконец, CVE-2026-5419 (балл 3.7) - временной боковой канал при проверке заполнения PKCS#7, который может быть использован удалённо для раскрытия служебной информации.

Наибольшее количество уязвимостей сконцентрировано в X.Org X Server и Xwayland. Восемь CVE (CVE-2026-50256, CVE-2026-50257, CVE-2026-50258, CVE-2026-50259, CVE-2026-50260, CVE-2026-50261, CVE-2026-50262, CVE-2026-50263) охватывают переполнение стека, использование после освобождения (use‑after‑free) и чтение за пределами буфера. Шесть из них имеют балл 7.8, что позволяет локальному злоумышленнику, имеющему возможность отправлять запросы к X‑серверу, либо вызвать отказ в обслуживании, либо повысить привилегии до root, если сервер работает с соответствующими правами. Например, CVE-2026-50256 связана с несоответствием максимальной длины имени шрифта между X‑сервером и библиотекой libXfont2: сервер выделяет буфер 256 байт, тогда как libXfont2 допускает длину до 1024 байт. Это приводит к переполнению стека. CVE-2026-50257 и CVE-2026-50260 реализуют атаки через механизм синхронизации (SyncCounter, SyncFence). CVE-2026-50258 и CVE-2026-50259 - переполнение стека при обработке клавиатурных раскладок (XKB). CVE-2026-50262 (балл 5.5) позволяет прочитать за границами запроса в обработчике GLX, приводя к раскрытию данных. CVE-2026-50263 (балл 5.5) - use‑after‑free в функции CreateSaverWindow, также с раскрытием информации.

Среди прочих затронутых компонентов выделяются уязвимость в rrdtool (CVE-2026-43958, балл 7.8) - переполнение стека в демоне rrdcached при обработке специально сформированного CREATE‑запроса, что может привести к выполнению произвольного кода с правами локального пользователя. В Perl DBI (CVE-2026-10879) обнаружено переполнение кучи при предварительном разборе SQL-запросов, содержащих более девяти плейсхолдеров: функция preparse выделяет недостаточно памяти для нумерованных подстановок, что позволяет злоумышленнику записать данные за пределами выделенной области. Уязвимость в Perl HTML-Parser (CVE-2026-8829) - чтение освобождённой памяти в функции _decode_entities при определённых условиях, что может раскрыть содержимое кучи.

По данным Microsoft, исправления уже выпущены и доступны через штатную систему обновлений Azure Linux. Администраторам необходимо обновить указанные пакеты до версий, перечисленных в бюллетенях. Например, для GnuTLS требуется версия 3.8.13‑1, для Xwayland - 24.1.12‑1, для Ansible - 2.17.11‑2. Полный список уязвимостей и версии исправлений опубликованы на портале MSRC.

Организации, использующие Azure Linux в производственной среде или в контейнерах, должны как можно скорее применить обновления. Эксплуатация большинства описанных уязвимостей может привести к компрометации системы, раскрытию защищаемой информации, повышению привилегий или отказу в обслуживании. Особое внимание следует уделить компонентам, работающим с сетевыми соединениями (GnuTLS) и графической подсистемой (X.Org), так как они часто доступны локальным пользователям или удалённо через сервисы. На момент публикации не сообщается о активных атаках с использованием этих уязвимостей, однако отсутствие патча повышает риски для незащищённых систем.

Детали уязвимостей

Ссылки