Корпорация Microsoft опубликовала информацию о группе уязвимостей, затрагивающих операционную систему Azure Linux в рамках облачной платформы Azure. Проблемы были выявлены в нескольких компонентах, входящих в состав дистрибутива azl3, и охватывают такие библиотеки и приложения, как ldns, SQLite, gitoxide, lldpd, Vim, Elixir и Python. Вендор уже выпустил соответствующие исправления, однако пользователям и администраторам облачных инфраструктур следует оперативно их применить.
Детали уязвимостей
Согласно бюллетеню безопасности, совокупность уязвимостей затрагивает 11 различных CVE, опубликованных в период с 31 мая по 13 июня 2026 года. Среди них выделяются несколько критических позиций. В библиотеке ldns (CVE-2026-10846) обнаружена проблема с недостаточной проверкой ответов DNS-запросов. При использовании в качестве резольвера (stub resolver) по протоколу UDP ldns не сверяет адрес и порт источника ответа с адресом и портом назначения запроса. Это делает приложения, использующие ldns для разрешения имён, уязвимыми для атак отравления DNS-кеша со стороны злоумышленника, находящегося вне пути передачи трафика (off-path poisoning). Уязвимость получила оценку 8,2 по шкале CVSS 4.0.
Другая важная проблема зафиксирована в SQLite (CVE-2026-11822 и CVE-2026-11824). Ошибки повреждения памяти в расширении полнотекстового поиска FTS5 позволяют атакующему, предоставившему специально сформированную базу данных, вызвать переполнение кучи. В случае эксплуатации уязвимости возможен отказ в обслуживании, утечка конфиденциальных данных или выполнение произвольного кода на уровне процесса, обрабатывающего запрос. Версии SQLite до 3.53.2 считаются уязвимыми, если при сборке был активирован флаг "SQLITE_ENABLE_FTS5".
В компоненте gitoxide (CVE-2026-40034) обнаружена уязвимость внедрения команд. Проблема кроется в модуле gix-submodule: при частичной настройке подмодулей в файле ".git/config" злоумышленник может обойти защитный механизм "CommandForbiddenInModulesConfiguration". Используя вредоносный файл ".gitmodules" с подставленным полем "update", атакующий может выполнить произвольные команды оболочки при вызове функции "Submodule::update()". Версии gitoxide до 0.5.21 и gix до 0.84.0 подвержены риску.
Утилита lldpd, реализующая протокол LLDP (IEEE 802.1ab), содержит уязвимость чтения за пределами выделенной области памяти (out-of-bounds read) в процессе декапсуляции VLAN-тегов (CVE-2026-46433). Ошибка в расчёте размера данных при вызове "memmove()" приводит к четырёхбайтовому переполнению при обработке кадра, размер которого равен MTU интерфейса. Это может вызвать сбой в работе демона lldpd. Версии до 1.0.22 уязвимы.
Особого внимания заслуживают уязвимости в текстовом редакторе Vim, которые охватывают сразу пять CVE (CVE-2026-47162, CVE-2026-47167, CVE-2026-52858, CVE-2026-52859, CVE-2026-52860). Несколько из них позволяют выполнить произвольный Vimscript или код на Python/Ruby. Например, уязвимость в плагине netrw (CVE-2026-47162) связана с некорректным экранированием кавычек в имени директории при записи истории просмотра. Вредоносная папка может внедрить произвольный Vimscript, который выполнится при следующем открытии файла истории. Уязвимость в Python omni-completion (CVE-2026-52858 и CVE-2026-52860) позволяет выполнить код из открытого в редакторе файла .py при вызове автодополнения. Ещё одна проблема (CVE-2026-52859) - выход за границы массива символов при чтении содержимого терминала, что приводит к аварийному завершению Vim.
В экосистеме Elixir обнаружена уязвимость (CVE-2026-49762), связанная с неограниченным парсингом целочисленных значений в модуле Version. Злоумышленник, контролирующий строку версии, может вызвать отказ в обслуживании за счёт исчерпания процессорного времени и памяти. Парсер конвертирует компоненты версии в целые числа без ограничения длины, что загружает планировщик BEAM и может привести к сбою процесса. Уязвимость затрагивает версии Elixir от 1.5.0 до 1.20.0.
Для библиотеки Python (CPython) зафиксирована уязвимость обхода пути (path traversal) в модуле "tarfile.data_filter" (CVE-2026-7774). С помощью специально созданных символьных ссылок злоумышленник может обойти защиту и записать файлы за пределы указанной директории при распаковке архива. Версии Python до 3.13.14, с 3.14.0 до 3.14.6 и предварительные сборки 3.15.0a1 до 3.15.0b2 подвержены риску.
В бюллетене Microsoft рекомендует всем клиентам Azure, использующим образы Azure Linux 3, установить обновления пакетов до указанных версий. Ссылки на конкретные бюллетени безопасности для каждого CVE приведены в документации к исправлению. Вендор не уточнил, обнаружены ли случаи реальной эксплуатации этих уязвимостей в производственных средах, однако характер описанных ошибок - выполнение кода, отказ в обслуживании и обход защитных механизмов - делает их привлекательными для злоумышленников. Администраторам следует в первую очередь обратить внимание на компоненты, работающие с сетевыми запросами (ldns, lldpd) и обрабатывающие пользовательские данные (SQLite, Vim, Python). Установка патчей является единственным способом устранить риски, связанные с описанными уязвимостями.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-10846
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-11822
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-11824
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40034
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-46433
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47162
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47167
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49762
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-52858
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-52859
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-52860
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7774
