Avviso di sicurezza: due vulnerabilità del kernel Linux — Fragnesia (CVE-2026-46300) e ssh-keysign-pwn (CVE-2026-46333)

A maggio 2026, a poche settimane di distanza da Copy Fail, sono state divulgate pubblicamente altre due gravi vulnerabilità del kernel Linux:

• Fragnesia (CVE-2026-46300, CVSS 7.8), divulgata il 13 maggio 2026, è una vulnerabilità nel sottosistema XFRM ESP-in-TCP che consente a un utente locale non privilegiato di scrivere byte arbitrari nella cache delle pagine (page cache) di file in sola lettura come /usr/bin/su e ottenere i privilegi di root con un singolo comando. Non è necessaria alcuna race condition e una proof-of-concept pubblica è disponibile.
• ssh-keysign-pwn (CVE-2026-46333), divulgata il 14 maggio 2026, è una vulnerabilità nel percorso ptrace exit-race che consente a un utente locale non privilegiato di rubare i descrittori di file dai processi privilegiati durante la loro uscita. In questo modo è possibile leggere file di proprietà di root, comprese le chiavi private host SSH (/etc/ssh/ssh_host_*_key) e il database delle password (/etc/shadow). Una proof-of-concept pubblica è disponibile.

Entrambi i difetti interessano tutte le principali distribuzioni Linux, tra cui Debian, Ubuntu, RHEL, AlmaLinux, Rocky, SUSE, Fedora e Arch. Si tratta di due bug distinti con correzioni differenti, ma sulla maggior parte delle distribuzioni entrambi vengono risolti con un unico aggiornamento del kernel e un riavvio.

Cosa abbiamo già fatto

Negli ultimi giorni abbiamo aggiornato l'intera infrastruttura MMITech. Tutti gli hypervisor, i server interni e i componenti della piattaforma utilizzano kernel corretti. In alcuni casi è stato necessario anche il riavvio del VPS nell'ambito dell'aggiornamento del kernel dell'host.

I clienti con un contratto di gestione attivo sul proprio VPS Linux o server dedicato sono già stati aggiornati dai nostri tecnici. Data la gravità, abbiamo eseguito aggiornamento del kernel e riavvio senza preavviso individuale. Non è richiesta alcuna azione da parte vostra.

Cosa dovete fare voi

Se gestite con noi un VPS Linux o un server dedicato non gestiti, aggiornate il kernel e riavviate il sistema il prima possibile. Vale per tutte le distribuzioni.

Comandi tipici di aggiornamento:

• Debian / Ubuntu: apt update && apt full-upgrade && reboot
• RHEL / AlmaLinux / Rocky / Fedora: dnf upgrade --refresh && reboot

Rotazione delle chiavi host SSH (ssh-keysign-pwn)

Poiché ssh-keysign-pwn è una vulnerabilità di divulgazione delle informazioni, le vostre chiavi private host SSH devono essere considerate potenzialmente compromesse se utenti non fidati avevano accesso shell al server prima dell'applicazione della patch. Per ruotare le chiavi host:

rm /etc/ssh/ssh_host_*_key*
ssh-keygen -A
systemctl restart ssh   # ali sshd

I client SSH che si ricollegheranno vedranno un avviso di host key changed finché non aggiorneranno il proprio file known_hosts.

Avete bisogno di assistenza?

Se non vi sentite a vostro agio nell'eseguire l'aggiornamento o la rotazione delle chiavi host SSH da soli, aprite un ticket di supporto e il nostro team vi assisterà.