Bezpečnostní upozornění: dvě zranitelnosti jádra Linuxu — Fragnesia (CVE-2026-46300) a ssh-keysign-pwn (CVE-2026-46333)

V květnu 2026 byly veřejně oznámeny další dvě závažné zranitelnosti jádra Linuxu, jen několik týdnů po Copy Failu:

• Fragnesia (CVE-2026-46300, CVSS 7.8), zveřejněná 13. května 2026, je chyba v subsystému XFRM ESP-in-TCP, která umožňuje lokálnímu uživateli bez zvláštních oprávnění zapsat libovolné bajty do vyrovnávací paměti stránek (page cache) souborů určených pouze ke čtení, jako je /usr/bin/su, a získat práva root jediným příkazem. Není potřeba race condition, veřejný proof-of-concept existuje.
• ssh-keysign-pwn (CVE-2026-46333), zveřejněná 14. května 2026, je chyba v ptrace exit-race cestě, která umožňuje lokálnímu uživateli bez zvláštních oprávnění krást deskriptory souborů z privilegovaných procesů během jejich ukončování. Tím může číst soubory ve vlastnictví uživatele root, včetně soukromých SSH host klíčů (/etc/ssh/ssh_host_*_key) a databáze hesel (/etc/shadow). Veřejný proof-of-concept existuje.

Obě chyby se týkají všech hlavních distribucí Linuxu, včetně Debianu, Ubuntu, RHEL, AlmaLinux, Rocky, SUSE, Fedory a Archu. Jde o dvě různé chyby s různými opravami, ale na většině distribucí obě řeší jediná aktualizace jádra a restart.

Co jsme již provedli

V posledních dnech jsme aktualizovali celou infrastrukturu MMITech. Všechny hypervizory, interní servery a komponenty platformy běží na opravených jádrech. V některých případech byl v rámci aktualizace jádra hostitele nutný také restart VPS.

U zákazníků se smlouvou o správě svého Linux VPS nebo dedikovaného serveru naši technici aktualizaci již provedli. Vzhledem k závažnosti jsme aktualizaci a restart provedli bez předchozího individuálního oznámení. Z vaší strany není třeba nic dělat.

Co je třeba udělat z vaší strany

Pokud u nás provozujete nespravovaný Linux VPS nebo dedikovaný server, co nejdříve aktualizujte jádro a server restartujte. Týká se to všech distribucí.

Obvyklé příkazy pro aktualizaci:

• Debian / Ubuntu: apt update && apt full-upgrade && reboot
• RHEL / AlmaLinux / Rocky / Fedora: dnf upgrade --refresh && reboot

Výměna SSH host klíčů (ssh-keysign-pwn)

Protože ssh-keysign-pwn je chyba s únikem informací, vaše soukromé SSH host klíče by měly být považovány za potenciálně kompromitované, pokud měli na serveru před opravou přístup ke shellu nedůvěryhodní uživatelé. Výměna host klíčů:

rm /etc/ssh/ssh_host_*_key*
ssh-keygen -A
systemctl restart ssh   # ali sshd

Vracející se SSH klienti uvidí varování o změně host klíče, dokud si neaktualizují svůj soubor known_hosts.

Potřebujete pomoc?

Pokud si aktualizaci nebo výměnu SSH host klíčů netroufáte provést sami, otevřete tiket podpory a náš tým vám pomůže.