В начале июня 2026 года специалисты по информационной безопасности столкнулись с тревожной новостью. В популярной криптографической библиотеке GnuTLS была обнаружена серьёзная уязвимость, способная привести к отказу в обслуживании. Эта проблема затронула не только дистрибутивы Linux, но и продукты Microsoft, включая операционную систему Azure Linux 3.0. Инцидент получил идентификатор CVE-2026-42009 (международный реестр уязвимостей), а его критичность была оценена в 7,5 балла по шкале CVSS (стандартная система оценки угроз).
Уязвимость CVE-2026-42009
Проблема кроется в механизме упорядочивания пакетов протокола DTLS (протокол защиты транспортного уровня для датаграмм, обеспечивающий шифрование для UDP-соединений). Уязвимость относится к категории CWE-475, что означает неопределённое поведение при передаче некорректных данных в программный интерфейс. Проще говоря, библиотека неправильно обрабатывает ситуации, когда пакеты имеют дублирующиеся порядковые номера.
В чём заключается опасность? Злоумышленнику не требуется никаких привилегий в системе или взаимодействия с пользователем. Атака может быть проведена удалённо через сеть. Вектор эксплуатации весьма прост: атакующий отправляет на уязвимый сервер специально сформированные пакеты DTLS с повторяющимися номерами последовательности. Механизм сравнения, отвечающий за сортировку пакетов, начинает работать некорректно. В результате возникает состояние гонки или полная нестабильность в обработке данных. Итог предсказуем - отказ в обслуживании.
Пользователи DTLS чаще всего не задумываются о внутренней механике этого протокола. Между тем он широко применяется в сценариях, где требуется шифрование поверх UDP. Речь идёт о VPN-соединениях, протоколах передачи голоса по интернету (VoIP), стриминговых сервисах и многопользовательских онлайн-играх. Любая из этих систем, использующая уязвимую версию GnuTLS, становится мишенью для злоумышленников, стремящихся нарушить её работу.
Кампания по раскрытию уязвимости была организована при участии корпорации Microsoft. Именно её подразделение безопасности выступило координатором, хотя техническую оценку проводили специалисты компании Red Hat, которая и является основным разработчиком библиотеки GnuTLS. В официальных бюллетенях указано, что проблема затрагивает широкий спектр продуктов.
Среди уязвимых систем оказались: Red Hat Enterprise Linux версий 6, 7, 8, 9 и 10, Red Hat OpenShift Container Platform 4 и Red Hat Hardened Images. Кроме того, под ударом находится российская операционная система Azure Linux 3.0 от Microsoft. Для Azure Linux уязвимыми являются сборки gnutls версии 3.8.3-8 и более ранние, в то время как обновлённая сборка 3.8.3-11 уже не содержит этой ошибки.
Важно подчеркнуть, что уязвимость не затрагивает конфиденциальность и целостность данных. Атакующий не может похитить пароли или изменить передаваемую информацию. Однако полностью парализовать работу сервиса вполне реально. Для организаций, предоставляющих критически важные онлайн-услуги, такой сценарий может обернуться серьёзными финансовыми потерями и репутационным ущербом.
Теперь перейдём к техническим деталям без излишней сложности. Представьте себе очередь, в которой люди стоят строго по номерам. Если приходят два человека с одинаковым номером, контролёр должен решить, кто пойдёт первым. В обычной ситуации он может просто отправить одного из них в конец очереди. В случае с GnuTLS подобная логика была нарушена. Алгоритм сравнения, не умея корректно обработать дублирование, приводил к бесконечному циклу или сбою. В результате работа всего сервиса останавливалась.
Насколько реальна угроза? Согласно шкале CVSS, атака оценивается как высокорисковая. Это означает, что технически неискушённый злоумышленник при наличии готового эксплоита (полезная нагрузка для атаки) может нарушить работу большого количества серверов по всему миру. Пока нет информации о том, что уязвимость активно используется в реальных атаках, но специалисты предупреждают: данные всегда привлекают внимание злоумышленников.
Для администраторов систем, использующих GnuTLS, первоочередная задача - установить исправления. Red Hat предоставила обновления для всех поддерживаемых версий своей операционной системы. Для RHEL 8 необходимо обновление до версии 3.6.16-8.el8_10.6, для RHEL 9 - до 3.8.10-4.el9_8, а для RHEL 10 - до 3.8.10-4.el10_2. Microsoft, в свою очередь, разместила исправление для Azure Linux 3.0 в виде сборки gnutls 3.8.3-11.
Что делать обычным пользователям? Если вы работаете на персональном компьютере с дистрибутивом Linux, рекомендуется проверить центр обновлений и установить последние пакеты. Для корпоративной среды процесс обновления должен быть форсирован, особенно для серверов, работающих с VPN и голосовой связью.
Подводя итоги, отметим, что данная уязвимость является классическим примером того, как одна, казалось бы, незначительная ошибка в алгоритме сортировки данных может поставить под удар целые экосистемы. Чем сложнее становятся протоколы передачи данных, тем выше вероятность появления неочевидных сценариев сбоя. Регулярное обновление программного обеспечения остаётся единственным надёжным способом защиты от подобных угроз. Специалистам по информационной безопасности стоит обратить особое внимание на системы, использующие DTLS, и ускорить процесс установки патчей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42009
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42009
- https://access.redhat.com/security/cve/CVE-2026-42009
