Компания Microsoft опубликовала обновления безопасности для дистрибутива Azure Linux, исправляющие две уязвимости высокого уровня критичности. Проблемы затрагивают библиотеку libnfs и брокер сообщений RabbitMQ, который входит в состав платформы. Первая уязвимость (CVE-2026-53689) получила оценку 7,1 балла по шкале CVSS 3.1, вторая (CVE-2026-43973) - 8,7 балла по версии CVSS 4.0. Корпорация рекомендует всем пользователям Azure Linux как можно скорее установить обновлённые версии пакетов.
Детали уязвимостей
Уязвимость CVE-2026-53689 обнаружена в библиотеке libnfs, используемой для работы с протоколом NFS. Исследователи установили, что функция libnfs_zdr_string (файл lib/libnfs-zdr.c) не проверяет размер строки перед её обработкой. Это может привести к целочисленному переполнению при соединении со специально подготовленным NFS-сервером. В случае эксплуатации злоумышленник, контролирующий сервер, смог бы вызвать некорректное поведение клиентского приложения, что потенциально ведёт к нарушению целостности или конфиденциальности данных. Библиотека libnfs используется во многих Linux-системах, включая облачные среды, поэтому проблема касается не только Azure Linux, но и широкого круга платформ, где применяется эта библиотека.
Вторая уязвимость CVE-2026-43973 затрагивает библиотеку gun, которая входит в состав RabbitMQ. gun используется для обработки HTTP-запросов, и в её модуле gun_http обнаружена проблема неограниченного буферизации входящих ответов от сервера. При получении HTTP/1.1-ответа с отсутствующим завершающим маркером заголовка (\r\n\r\n) библиотека бесконечно накапливает данные в оперативной памяти клиента. Злоумышленник, контролирующий сервер, может отправить частичный ответ с бесконечным потоком данных, что приведёт к неограниченному росту кучи процесса. Поскольку среда выполнения BEAM (используемая в Erlang/OTP, на котором построен RabbitMQ) по умолчанию не ограничивает размер кучи на процесс, одна вредоносная сессия способна исчерпать всю доступную память узла. Результатом становится отказ в обслуживании (out-of-memory) всей ноды, что особенно опасно для кластерных конфигураций RabbitMQ. Уязвимы версии gun от 1.0.0 до 2.4.0.
Обе уязвимости были обнаружены сторонними исследователями и переданы Microsoft через программу ответственного раскрытия. Разработчики выпустили соответствующие бюллетени: для CVE-2026-53689 - 19 июня, для CVE-2026-43973 - 17 июня. В официальных рекомендациях указаны точные версии пакетов, в которых проблема устранена: для libnfs это версия 5.0.2-2 (предыдущая - 5.0.2-1), для RabbitMQ (включающего gun) - версия 3.13.7-6 (предыдущая - 3.13.7-5). Пользователям Azure Linux следует выполнить обновление через штатные менеджеры пакетов: команды "sudo apt update && sudo apt upgrade" или через графический интерфейс. Временные меры защиты, такие как блокировка подозрительных NFS-серверов или ограничение приёма внешних HTTP-соединений RabbitMQ, могут снизить риск, но полное исправление требует обновления.
Важно отметить, что уязвимости затрагивают только те экземпляры Azure Linux, где установлены затронутые версии пакетов. Azure Linux (также известный как azl3) - это минималистичный дистрибутив, оптимизированный для контейнерных и облачных нагрузок, поэтому его основными пользователями являются корпоративные клиенты, развернувшие рабочие нагрузки в Microsoft Azure. RabbitMQ часто используется как брокер сообщений в микросервисных архитектурах, а libnfs - для монтирования удалённых файловых систем по NFS. В случае успешной атаки на RabbitMQ возможна полная потеря доступности сервиса, что для бизнес-приложений оборачивается остановкой процессов. Атака через libnfs может привести к компрометации данных, если злоумышленнику удастся подменить NFS-сервер.
На данный момент не сообщается о случаях использования этих уязвимостей в реальных атаках, однако публикация бюллетеней и присвоение CVE-идентификаторов делают информацию общедоступной, что повышает вероятность появления эксплойтов. Специалисты по безопасности рекомендуют не откладывать установку патчей, особенно в средах, где RabbitMQ или libnfs имеют выход в интернет.
Ситуация также привлекает внимание к проблемам управления зависимостями в крупных проектах. Библиотека gun, разработанная сторонним коллективом ninenines, используется во многих проектах на Erlang, и её уязвимость типа "неограниченное потребление ресурсов" является классической для протоколов, где не предусмотрены ограничения на размер буфера. Microsoft, включив эти пакеты в свой дистрибутив, взяла на себя ответственность за своевременное обновление и информирование пользователей. Выпущенные патчи демонстрируют зрелость процесса безопасности в проекте Azure Linux, который регулярно получает исправления для всех включённых компонентов.
Таким образом, обновление Azure Linux закрывает две серьёзные уязвимости, способные привести к отказу в обслуживании и потенциально к компрометации данных. Пользователям следует немедленно применить обновления, обращая особое внимание на версии пакетов libnfs и rabbitmq-server. Для тех, кто использует Azure Linux в критически важных системах, рекомендуется также проверить конфигурации сетевой изоляции, чтобы ограничить доступ к RabbitMQ и NFS только доверенными адресами. Однако основным методом защиты остаётся установка вышедших исправлений.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-43973
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-53689
