Sigurnosna obavijest: dvije ranjivosti Linux jezgre — Fragnesia (CVE-2026-46300) i ssh-keysign-pwn (CVE-2026-46333)

U svibnju 2026. javno su objavljene još dvije ozbiljne ranjivosti Linux jezgre, samo nekoliko tjedana nakon Copy Faila:

• Fragnesia (CVE-2026-46300, CVSS 7.8), objavljena 13. svibnja 2026., ranjivost je u podsustavu XFRM ESP-in-TCP koja lokalnom korisniku bez posebnih ovlasti omogućuje upisivanje proizvoljnih bajtova u predmemoriju stranica (page cache) datoteka samo za čitanje, kao što je /usr/bin/su, i dobivanje root prava jednom naredbom. Nije potreban race condition, javni dokaz koncepta postoji.
• ssh-keysign-pwn (CVE-2026-46333), objavljena 14. svibnja 2026., ranjivost je u ptrace exit-race putanji koja lokalnom korisniku bez posebnih ovlasti omogućuje krađu deskriptora datoteka iz privilegiranih procesa tijekom njihova izlaza. Time može čitati datoteke u vlasništvu roota, uključujući privatne host ključeve SSH-a (/etc/ssh/ssh_host_*_key) i bazu lozinki (/etc/shadow). Javni dokaz koncepta postoji.

Obje ranjivosti pogađaju sve glavne distribucije Linuxa, uključujući Debian, Ubuntu, RHEL, AlmaLinux, Rocky, SUSE, Fedora i Arch. Riječ je o dvije različite greške s različitim ispravcima, no na većini distribucija obje rješava jedna nadogradnja jezgre i ponovno pokretanje.

Što smo već učinili

Posljednjih dana ažurirali smo cjelokupnu MMITech infrastrukturu. Svi hipervizori, interni poslužitelji i platformske komponente rade na zakrpanim jezgrama. U nekim slučajevima bilo je potrebno i ponovno pokretanje VPS-a u sklopu nadogradnje jezgre domaćina.

Korisnicima s ugovorom o upravljanju za Linux VPS ili namjenski poslužitelj nadogradnju su već obavili naši inženjeri. S obzirom na ozbiljnost, nadogradnju i ponovno pokretanje izveli smo bez prethodne pojedinačne obavijesti. S vaše strane nije potrebno ništa poduzimati.

Što vi trebate učiniti

Ako kod nas imate neupravljani Linux VPS ili namjenski poslužitelj, čim prije ažurirajte jezgru i ponovno pokrenite poslužitelj. To vrijedi za sve distribucije.

Uobičajene naredbe za ažuriranje:

• Debian / Ubuntu: apt update && apt full-upgrade && reboot
• RHEL / AlmaLinux / Rocky / Fedora: dnf upgrade --refresh && reboot

Promjena SSH host ključeva (ssh-keysign-pwn)

Budući da je ssh-keysign-pwn ranjivost otkrivanja informacija, vaši privatni SSH host ključevi trebaju se smatrati potencijalno izloženima ako su prije zakrpe na poslužitelju imali pristup ljusci nepouzdani korisnici. Promjena host ključeva:

rm /etc/ssh/ssh_host_*_key*
ssh-keygen -A
systemctl restart ssh   # ali sshd

SSH klijenti koji se ponovno spoje vidjet će upozorenje o promjeni host ključa dok ne ažuriraju svoju known_hosts datoteku.

Trebate pomoć?

Ako niste sigurni kako sami izvesti nadogradnju ili promjenu SSH host ključeva, otvorite tiket podrške i naš tim će vam pomoći.