Почему 2026 год научил меня читать security-новости каждый день.
За последние два месяца в ядре Linux нашли пять рабочих LPE-эксплойтов — LPE (local privilege escalation), локальное повышение привилегий: любой пользователь с доступом к системе получает права root. Пять. Два месяца. Copy Fail, DirtyCBC, Dirty Frag, Fragnesia, PinTheft — и это только то, что получило имена. У всех одна общая черта: публичный PoC (Proof of Concept — готовый рабочий код эксплойта) выходил раньше, чем патч доезжал до Ubuntu или RHEL. Окно уязвимости — от нескольких дней до двух недель. Этого достаточно.
ЧТО ПРОИСХОДИТ
Это не случайный всплеск. Исследователи нашли золотую жилу — подсистемы zerocopy и io_uring в ядре Linux. io_uring появился в 2019 году как высокопроизводительный асинхронный интерфейс ввода-вывода. Писался для скорости, а не для безопасности. Прямой доступ к памяти ядра, сложная модель состояний, нетривиальные граничные случаи — идеальная среда для ошибок типа double-free и use-after-free.
Один исследователь нашёл баг — остальные посмотрели в ту же сторону. Эффект домино запущен. В 2023 году команда безопасности Google сообщила: 60% эксплойтов в их bug bounty программе за 2022 год были направлены против io_uring. Google отключила io_uring в Android, ChromeOS и на своих production-серверах. Docker сделал то же самое. Это не заканчивается — это продолжается.
Добавьте к этому сломанный процесс disclosure: стандарт 90 дней на закрытие уязвимости до публикации всё чаще нарушается. Dirty Frag вышел в открытый доступ до того, как дистрибутивы успели выпустить патчи — эмбарго нарушил посторонний. PinTheft: патч в ядре от 5 мая, PoC на GitHub 21 мая. Два месяца. Две недели. Так работает реальность.
ПОЧЕМУ ЭТО КАСАЕТСЯ ВАШЕГО СЕРВЕРА
Классическая цепочка атаки в 2026 году выглядит так: уязвимый плагин WordPress → RCE (Remote Code Execution, удалённое выполнение кода) от имени www-data — пользователя, под которым работает веб-сервер → LPE-эксплойт → root → конец истории.
Первое звено — дырявый плагин — закрывают Cloudflare WAF, ModSecurity, Wordfence. Это хорошо настроенная защита на периметре. Но если атакующий прошёл первое звено — дальше между ним и root стоят только условия конкретного эксплойта. Для PinTheft это загруженный модуль rds и включённый io_uring. Один параметр. Одна строчка в modprobe.d. Разница между инцидентом и катастрофой.
Проблема не в том, что уязвимости существуют — они были всегда. Проблема в том, что окно между появлением PoC и установкой патча стало критически коротким. Раньше у администратора было время. Сейчас — дни, иногда часы.
КАК СЛЕДИТЬ
Это не требует часа в день. Требует системы.
Откуда брать информацию:
oss-security — публичная email-рассылка, где исследователи публикуют уязвимости часто до получения CVE-идентификатора. Именно здесь появляются самые свежие данные. Чтобы подписаться, отправьте пустое письмо на адрес [email protected] — придёт подтверждение, кликните по ссылке. Архив рассылки доступен на openwall.com/lists/oss-security/
Где искать опубликованные CVE:
— NVD (National Vulnerability Database): nvd.nist.gov — полный реестр, CVSS-оценки, ссылки на патчи
— MITRE CVE: cve.mitre.org — первичный реестр идентификаторов
— Kernel CVE announcements: lore.kernel.org/linux-cve-announce/ — CVE непосредственно от команды ядра Linux
Security advisories вашего дистрибутива — там патчи появляются раньше, чем в новостях:
— Ubuntu USN: ubuntu.com/security/notices
— Debian DSA: debian.org/security/
— RHEL/Fedora RHSA: access.redhat.com/security/security-updates/
Один новостной источник на выбор — BleepingComputer, The Hacker News или SecurityLab.ru. Не для погружения в детали, а чтобы не пропустить громкое имя.
Плюс инструменты которые работают за вас:
debsecan (Debian Security Analyzer) — утилита, которая сравнивает все установленные пакеты на вашей системе с базой известных уязвимостей Debian и выдаёт список того, что нужно закрыть. Работает локально, не требует регистрации.
# Установка
sudo apt install debsecan
# Отчёт по уязвимостям в установленных пакетах
debsecan --suite $(lsb_release -cs) --format report
# Проверка доступных security-обновлений
sudo apt update -qq && apt list --upgradable 2>/dev/null | grep -i security
# RHEL/Fedora — встроенная проверка security-обновлений
sudo dnf check-update --security
И systemd timer для автоматической проверки раз в неделю — потому что руками не делает никто. Настроить его можно за 10 минут: создать unit-файл с нужной командой и активировать через systemctl enable —now.
ЧТО ДЕЛАТЬ КОГДА НАХОДИТЕ НОВОСТЬ
Не паниковать. Работать по схеме.
Шаг 1. Проверить требования уязвимости. Нужен ли загруженный модуль? Включён ли определённый сервис? Нужен ли локальный доступ или это удалённая атака?
# Пример для PinTheft — проверить загружен ли rds
lsmod | grep rds
# Пример — проверить io_uring
cat /proc/sys/kernel/io_uring_disabled
Шаг 2. Применить временную меру если патч ещё не вышел. Blacklist модуля, отключение сервиса, sysctl-параметр — что применимо.
Шаг 3. Следить за advisory вашего дистрибутива. Как только патч вышел — обновить немедленно.
# Обновить ядро — Debian/Ubuntu
sudo apt update && sudo apt upgrade linux-image-generic
# RHEL/Fedora
sudo dnf update kernel
Шаг 4. Перезагрузиться. Без перезагрузки новое ядро не работает.
ГЛАВНЫЙ ВЫВОД
Периметровая защита — Cloudflare, fail2ban, nftables, ModSecurity — это первая линия. Она отлично работает против массовых атак и ботов. Но она не защищает от атакующего, который уже внутри.
Внутри защищает только одно: знание о том что происходит в ядре и быстрая реакция.
Copy Fail, DirtyCBC, Dirty Frag, Fragnesia, PinTheft — это не уникальные события. Это новая норма. io_uring и zerocopy будут давать уязвимости ещё. Вопрос не в том, выйдет ли следующий эксплойт. Вопрос в том, узнаете ли вы о нём раньше, чем злоумышленник.
Подпишитесь на oss-security сегодня. Это занимает две минуты.
