Varnostno obvestilo: dve ranljivosti jedra Linux — Fragnesia (CVE-2026-46300) in ssh-keysign-pwn (CVE-2026-46333)

Maja 2026 sta bili javno objavljeni še dve resni ranljivosti jedra Linux, le nekaj tednov po Copy Fail:

• Fragnesia (CVE-2026-46300, CVSS 7.8), objavljena 13. maja 2026, je napaka v podsistemu XFRM ESP-in-TCP, ki omogoča lokalnemu uporabniku brez posebnih pravic pisanje poljubnih bajtov v predpomnilnik strani (page cache) datotek, namenjenih samo branju, kot je /usr/bin/su, in pridobitev pravic root z enim samim ukazom. Tekmovalni pogoj (race condition) ni potreben, javni dokaz koncepta obstaja.
• ssh-keysign-pwn (CVE-2026-46333), objavljena 14. maja 2026, je napaka v poteku zaključevanja procesa (ptrace exit-race), ki lokalnemu uporabniku brez posebnih pravic omogoča krajo deskriptorjev datotek iz privilegiranih procesov ob njihovem zaključku. Tako lahko bere datoteke, ki so v lasti uporabnika root, vključno z zasebnimi gostiteljskimi ključi SSH (/etc/ssh/ssh_host_*_key) in podatkovno zbirko gesel (/etc/shadow). Javni dokaz koncepta obstaja.

Obe napaki zadevata vse večje distribucije Linuxa, vključno z Debianom, Ubuntujem, RHEL, AlmaLinux, Rocky, SUSE, Fedoro in Archom. Gre za dve različni napaki z različnima popravkoma, vendar v večini distribucij obe odpravi ena sama nadgradnja jedra in ponovni zagon.

Kaj smo že storili

V zadnjih dneh smo posodobili celotno infrastrukturo MMITech. Vsi hipervizorji, naši strežniki in platformske komponente delujejo na popravljenih jedrih. V nekaterih primerih je bil v sklopu nadgradnje gostiteljskega jedra potreben tudi ponovni zagon VPS.

Strankam, ki imajo z nami sklenjeno pogodbo o upravljanju za svoj Linux VPS ali namenski strežnik, je posodobitev že izvedla naša ekipa. Glede na resnost ranljivosti smo nadgradnjo in ponovni zagon izvedli brez predhodnega individualnega obveščanja. Z vaše strani ni potrebno storiti ničesar.

Kaj morate storiti vi

Če pri nas gostite neupravljani Linux VPS ali namenski strežnik, čim prej posodobite jedro in ponovno zaženite strežnik. To velja za vse distribucije.

Pogosti ukazi za posodobitev:

• Debian / Ubuntu: apt update && apt full-upgrade && reboot
• RHEL / AlmaLinux / Rocky / Fedora: dnf upgrade --refresh && reboot

Zamenjava gostiteljskih ključev SSH (ssh-keysign-pwn)

Ker gre pri ssh-keysign-pwn za napako z razkritjem informacij, je treba šteti, da so vaši zasebni gostiteljski ključi SSH potencialno razkriti, če so imeli na strežniku pred popravkom dostop do lupine nezaupanja vredni uporabniki. Zamenjava gostiteljskih ključev:

rm /etc/ssh/ssh_host_*_key*
ssh-keygen -A
systemctl restart ssh   # ali sshd

Odjemalci SSH, ki se bodo ponovno povezali, bodo videli opozorilo o spremembi gostiteljskega ključa, dokler ne posodobijo svoje datoteke known_hosts.

Potrebujete pomoč?

Če posodobitve ali zamenjave gostiteljskih ključev SSH ne želite izvesti sami, oddajte zahtevek za podporo in naša ekipa vam bo pomagala.