Вразливість GhostLock у Linux: серйозна проблема безпеки

Вразливість GhostLock у Linux: серйозна проблема безпеки

Користувачі Linux мають справу з новою вразливістю, яка може призвести до ескалації привілеїв ядра. Вразливість зафіксована під номером CVE-2026-43499 і названа GhostLock розробниками Nebula Security. Ця помилка впливає на код пріоритету успадкування futex та rtmutex у ядрі Linux, дозволяючи неприхованому локальному користувачеві отримати права root на вразливих системах.

Оцінка та вплив вразливості GhostLock

Вразливість має оцінку CVSS 3.1 на рівні 7.8, що класифікується як висока небезпека NVD. Це ставить її у категорію серйозних, але локальних проблем. Ця проблема йде слідом за іншою вразливістю ядра Linux, DirtyClone, яка також могла призвести до локального доступу root. Проте GhostLock є окремою помилкою. Якщо DirtyClone стосується стеку мережі та обробки фрагментів буфера сокетів, то GhostLock знаходиться глибше в коді блокування ядра.

Згідно з Nebula Security, проблема виникає ще з 2011 року (починаючи з ядра Linux 2.6.39), що робить її приблизно 15 років старою. Вразлива логіка міститься в коді реального часу mutex, зокрема, в шляху пріоритету успадкування futex.

Технічна суть GhostLock

Інакше кажучи, ядро може очистити неправильне завдання під час відкату, залишаючи за собою застарілий стан пріоритету успадкування. Це може призвести до ситуації use-after-free, яку дослідники описують як надійний спосіб ескалації привілеїв на локальних системах.

Хоча вплив серйозний, важливо правильно його зрозуміти. Вразливість не дозволяє віддалене захоплення, оскільки зловмисник спочатку повинен отримати локальне виконання коду. Це вимога не є тривіальною на спільних системах, контейнерних хостах, CI-редакторах, розробницьких машинах або серверах, де облікові записи з низькими привілеями можуть вже бути скомпрометовані.

Nebula Security стверджує, що GhostLock може бути використаний з середини контейнера для втечі до хоста. Це робить цю вразливість особливо актуальною для багатокористувацьких і контейнеризованих середовищ. Указівка AlmaLinux також описує цю проблему як локальну вразливість, яку можна експлуатувати зсередини контейнера без спеціальних можливостей.

Стан виправлень в різних дистрибутивах

Стан виправлень варіюється серед дистрибутивів. Debian випустив виправлення для своїх підтримуваних ядер. Ubuntu виправила цю проблему в основному пакеті ядра для версії 26.04 LTS, хоча кілька старих версій LTS залишаються вразливими або очікують оновлень. SUSE опублікувала виправлення для кількох версій enterprise та openSUSE.

Oracle Linux випустила виправлення UEK для версій 9 та 10. AlmaLinux зробив патчі для версій 8, 9 та 10 доступними через своє тестове сховище, тоді як продуктивні оновлення чекають. Amazon Linux досі вказує на ті версії ядер, які потребують виправлення, а Red Hat продовжує оновлювати уражені релізи RHEL.

Отже, важливо зазначити, що користувачі не повинні вважати, що вони захищені лише тому, що їх дистрибутив нещодавно випустив оновлення ядра. Безпечним варіантом є перевірка запущеного ядра з виправленою версією, зазначеною в безпековому трекері дистрибутиву, а потім перезавантаження в оновлене ядро.

На момент написання цього тексту немає універсального обходного рішення для GhostLock. Хоча деякі варіанти посилення можуть ускладнити експлуатацію, вони не є заміною оновленням ядра від постачальника. Для продуктивних систем, особливо багатокористувацьких серверів і контейнерних хостів, єдиним ефективним рішенням є застосування англійського патчованого ядра від постачальника дистрибутиву.

Додаткова інформація про GhostLock

Для додаткової інформації про GhostLock, рекомендуємо ознайомитися з офіційними повідомленнями на сайті Nebula Security та AlmaLinux.