Основы Интернет - технологий.

Исследователи обнаружили уже третью за последние недели уязвимость в Linux, связанную с повышением привилегий. Новый баг получил название Fragnesia и позволяет локальному атакующему получить root-права в большинстве популярных дистрибутивов. PoC-эксплоит для свежей проблемы уже доступен в сети. Проблеме был присвоен идентификатор CVE-2026-46300, и она затрагивает подсистему XFRM ESP-in-TCP в ядре Linux, позволяя непривилегированному локальному пользователю получить root-права посредством модификации page cache файлов, доступных только для чтения. Уязвимость обнаружил специалист компании Zellic Уильям Боулинг (William Bowling). По его словам, баг относится к тому же классу уязвимостей, что и проблемы Dirty Frag и CopyFail, о которых стало известно ранее в этом месяце. При этом Fragnesia представляет собой отдельную проблему и получила собственный патч. Fragnesia затрагивает все версии ядра Linux, выпущенные до 13 мая 2026 года. Исследователь уже опубликовал PoC-эксплоит, демонстрирующий получение root-доступа через повреждение page cache памяти бинарника /usr/bin/su. Как объясняют специалисты компании Wiz, проблема связана с логической ошибкой в XFRM ESP-in-TCP. Эксплоит позволяет записывать произвольные байты в page cache ядра для файлов, смонтированных в режиме «только для чтения». При этом, в отличие от многих других LPE-уязвимостей, для эксплуатации Fragnesia не потребуется провоцировать состояние гонки или соблюдать какие-либо дополнительные условия. Патчи для Fragnesia уже начали выпускать разработчики AlmaLinux, Amazon Linux, Debian, Ubuntu, Red Hat, SUSE и другие. Пользователям рекомендуют как можно скорее обновить ядро или хотя бы временно отключить уязвимые модули. В Wiz отмечают, что ограничения AppArmor для непривилегированных user namespace могут частично осложнить эксплуатацию бага, однако полноценной защитой это считать нельзя. Пока исследователи не обнаружили реальных атак с использованием Fragnesia, однако другие свежие LPE в Linux уже начали использовать хакеры. К примеру, в начале мая специалисты CISA добавили уязвимость CopyFail в каталог активно эксплуатируемых багов и потребовали от американских федеральных ведомств устранить проблему до 15 мая.