В ядре Linux обнаружили уязвимость CVE-2026-46333, которая почти десять лет оставалась незамеченной в стабильных сборках популярных дистрибутивов. Ошибка появилась в коде ещё в ноябре 2016 года и затрагивала системы Debian, Ubuntu, Fedora, Red Hat, SUSE, AlmaLinux и CloudLinux. Несмотря на среднюю оценку опасности 5,5 из 10, последствия уязвимости могут быть очень серьёзными: обычный локальный пользователь способен получить права root и прочитать закрытые файлы, включая приватные SSH-ключи.
Главная особенность проблемы заключается в том, что атака требует локального доступа. На первый взгляд это снижает опасность, потому что злоумышленник уже должен иметь возможность запускать код на системе. Но в реальности локальный доступ нередко появляется после взлома веб-приложения, компрометации учётной записи, доступа к серверу сборки, ошибки в контейнерной среде или эксплуатации другой уязвимости. Если после этого атакующий может повысить привилегии до root, проблема становится намного серьёзнее.
Уязвимость связана с логикой ядра, которая определяет, может ли один процесс обращаться к другому. Когда программа, работающая с правами администратора, завершает работу и сбрасывает свои привилегии, доступ к ней должен закрываться сразу. Из-за ошибки в Linux этот запрет вступал в силу с короткой задержкой. Именно в этот промежуток обычный пользователь мог успеть перехватить открытые файлы и соединения завершающейся программы.
На практике это означает, что атакующий может использовать очень узкое временное окно, чтобы добраться до данных, которые должны быть защищены. Исследователи отмечают, что приём работает стабильно и может быть автоматизирован. Поэтому речь идёт не о случайной теоретической возможности, а о воспроизводимом сценарии атаки, который превращает локальную сессию в путь к правам администратора или к чужим учётным данным.
Особенно опасна уязвимость для серверов с несколькими пользователями. В системах виртуального хостинга, учебных лабораториях, shared-серверах, корпоративных Linux-машинах и средах разработки на одной системе могут работать люди, которые не должны доверять друг другу. Если один пользователь может повысить привилегии или прочитать чужие секреты, это разрушает базовую модель изоляции.
Отдельный риск связан с приватными SSH-ключами. Такие ключи часто используются для доступа к серверам, репозиториям, системам сборки, инфраструктуре и внутренним сервисам. Если злоумышленник получает закрытый ключ, он может попытаться войти на другие машины, подключиться к репозиториям или продолжить атаку уже за пределами первоначального сервера. Поэтому компрометация SSH-ключей может иметь последствия намного шире, чем взлом одной Linux-системы.
Проблему раскрыли исследователи из подразделения Threat Research Unit компании Qualys. Они сообщили о ней разработчикам ядра 11 мая 2026 года, а патч был выпущен 14 мая. Однако вскоре после этого появился независимый эксплойт, собранный по публичному коммиту. Это нарушило режим неразглашения и вынудило раскрыть детали раньше запланированного срока. Сейчас рабочие эксплойты уже доступны публично, что делает обновление особенно срочным.
Главная рекомендация для администраторов — как можно быстрее обновить ядро Linux до версии с исправлением. Если обновление невозможно провести немедленно, временной мерой может стать повышение значения параметра kernel.yama.ptrace_scope до 2. Это блокирует известные варианты эксплуатации, хотя не должно восприниматься как полноценная замена патчу.
Системам, где в период действия уязвимости работали недоверенные пользователи, стоит считать приватные SSH-ключи и кешированные учётные данные потенциально скомпрометированными. В таких случаях разумно не только установить обновление, но и заменить ключи, пересмотреть доступы, проверить журналы входов и убедиться, что злоумышленник не закрепился в инфраструктуре.
Эта история показывает, что даже зрелые и широко проверяемые open source-проекты могут годами содержать уязвимости в сложной логике ядра. Linux используется в серверах, облаках, контейнерах, сетевом оборудовании, рабочих станциях и корпоративной инфраструктуре, поэтому даже локальная уязвимость может стать важным элементом цепочки атаки. Особенно если её можно надёжно автоматизировать.
Главный вывод заключается в том, что оценка CVSS не всегда отражает реальный риск для конкретной инфраструктуры. Формально уязвимость получила средний уровень опасности, потому что требует локального доступа. Но для хостингов, CI/CD-серверов, корпоративных Linux-систем и сред с несколькими пользователями её последствия могут быть критичными. Если атакующий получает root-доступ или закрытые SSH-ключи, ущерб может выйти далеко за пределы одной машины.