Корпорация Microsoft выпустила серию обновлений для своей операционной системы Azure Linux 3.0. Исправления закрывают три уязвимости, обнаруженные в ключевых компонентах системы. Речь идет о проблемах в языке программирования Erlang, текстовом редакторе Vim и библиотеке управления цветом Little CMS. Каждая из них позволяет атакующему получить нежелательный контроль над системой. Самое неприятное - злоумышленнику не требуются права администратора для начала атаки. Достаточно лишь локального доступа к машине.
Детали уязвимостей
Первая уязвимость затрагивает компонент SSH (протокол защищенного соединения) в среде Erlang OTP (Open Telecom Platform - платформа для построения распределенных систем). Ей присвоен идентификатор CVE-2026-32147. Суть проблемы кроется в обработке путей при передаче файлов по протоколу SFTP (SSH File Transfer Protocol - протокол файлового обмена поверх SSH). Когда администратор настраивает сервер с изолированной корневой директорией (механизм chroot - виртуальная файловая система для ограничения доступа), система должна запомнить этот путь и строго проверять, куда пользователь пытается писать. Но разработчики Erlang OTP допустили ошибку: сервер запоминает исходный, заданный клиентом путь, а не тот, который прошел проверку chroot. В результате авторизованный пользователь может изменить атрибуты файла за пределами разрешенной директории. Например, если сервер запущен с правами суперпользователя, атакующий сможет выставить бит setuid (бит, позволяющий запускать файл с правами владельца) на любом бинарном файле. Или сменить владельца системного конфигурационного файла. Важно отметить: эта уязвимость не позволяет читать или записывать содержимое файлов. Но изменение атрибутов - уже серьезный вектор для последующей эскалации привилегий. Проблема затронула все версии OTP начиная с 17.0. Исправления вышли в релизах 26.2.5.20, 27.3.4.11 и 28.4.3.
Вторая уязвимость, CVE-2026-41411, обнаружена в текстовом редакторе Vim. Атака снова базируется на локальном доступе и требует от пользователя открыть специально подготовленный файл с тегами. В Vim есть функция перехода по тегам: она берет имя файла из файла тегов и подставляет его в команду оболочки для поиска. Однако редактор не очищает полученное имя от управляющих последовательностей. Если имя файла содержит обратные кавычки (."command".), Vim передает эту строку в командную оболочку системы без фильтрации. Таким образом, злоумышленник может выполнить произвольную команду с правами текущего пользователя. Оценка по шкале CVSS составила 6,6 балла из десяти - средний уровень риска, но с высокой опасностью для целостности системы. Проблема затрагивает Vim до версии 9.2.0357 включительно. Обновление до версии 9.2.0392-1, которое уже выпущено для Azure Linux, полностью закрывает эту лазейку.
Третья уязвимость, CVE-2026-41254, скрывается в библиотеке управления цветом Little CMS (lcms2). Эта библиотека отвечает за корректное преобразование цветовых профилей в изображениях и видео. В ней обнаружилось целочисленное переполнение в функции CubeSize. Разработчики пытались проверить возможность переполнения, но сделали это после того, как умножение уже выполнилось. Проверка теряет смысл, если переменная уже переполнилась до большого числа. В результате злоумышленник может передать библиотеке специально созданные данные, что приведет к чтению за пределами выделенной памяти или к непредсказуемому завершению работы приложения. Хотя оценка CVSS здесь невысокая (4,0 из 10), эксплуатация возможна без участия пользователя и без каких-либо привилегий. Однако сложность атаки оценена как высокая - это усложняет ее применение на практике. Уязвимы версии библиотеки с 2.15-1 и старше. Исправление устанавливает сборку 2.15-2.
Все три уязвимости затрагивают только дистрибутив Azure Linux 3.0, который используется в облачной инфраструктуре Microsoft Azure. Хотя уязвимости считаются умеренно опасными, их эксплуатация может привести к частичной компрометации виртуальных машин. Особую тревогу вызывает комбинация уязвимости в Erlang и Vim, ведь обе требуют лишь локального доступа и минимальных действий со стороны жертвы. Это означает, что при наличии начальной точки проникновения злоумышленник сможет расширить свои возможности внутри облачной среды.
Microsoft уже опубликовала соответствующие бюллетени безопасности и ссылки на скачивание патчей. Администраторам Azure Linux рекомендуется немедленно обновить все три компонента до указанных версий. Для этого достаточно выполнить стандартную команду обновления пакетов в системе. Поскольку Azure Linux основан на CBL-Mariner, обновления распространяются через официальные репозитории.
Кроме того, стоит пересмотреть политики доступа к серверам SFTP и SSH: если возможно, ограничить круг пользователей, имеющих право на запись файлов, и не запускать демон SSH с правами root без крайней необходимости. Для пользователей Vim хорошей практикой остается открытие файлов тегов только из доверенных источников. Библиотека lcms2 используется автоматически при обработке графики, но специально эксплуатировать ее удаленно сложно из-за ограничения на локальный доступ. Тем не менее обновление должно быть выполнено в любом случае.
Таким образом, очередная массовая рассылка исправлений от Microsoft напоминает: даже в облачной среде, где обновления устанавливаются централизованно, не стоит пренебрегать ими. Игнорирование патча может обернуться утечкой данных или полной компрометацией инстанса.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41254
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32147
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41411
- https://www.cve.org/CVERecord?id=CVE-2026-32147
- https://www.cve.org/CVERecord?id=CVE-2026-41254
- https://www.cve.org/CVERecord?id=CVE-2026-41411
