Системный журнал — практичная база знаний по VPS и Linux
Системный журнал Системный журнал
Linux • Ubuntu • Безопасность • Ядро Linux

USN-8548-1: Уязвимости ядра Linux в Ubuntu

3 мин чтения

Команда безопасности Ubuntu выпустила обновление USN-8548-1, исправляющее несколько уязвимостей в ядре Linux. Обновления касаются пакетов linux-aws (ядро для AWS), linux-fips (FIPS-совместимое ядро) и linux-lts-xenial (HWE-ядро Xenial для Trusty).

Критичная уязвимость Fragnesia (CVE-2026-43503)

Обнаружена логическая ошибка в подсистеме XFRM ESP-in-TCP, позволяющая локальному атакующему повысить привилегии или выйти за пределы контейнера. Уязвимость известна как Fragnesia.

Кого это касается?

  • Серверы с ядром Ubuntu, особенно на AWS
  • Системы с FIPS-совместимым ядром
  • Пользователи HWE-ядра Xenial
  • Контейнеризированные среды (возможность выхода из контейнера)

Как оценить риск?

Уязвимость позволяет локальному пользователю повысить привилегии или выйти за пределы контейнера. Это особенно критично для:

  • Серверов с несколькими пользователями
  • Контейнеризированных сред (Docker, Kubernetes)
  • Систем с чувствительными данными

Дополнительные исправленные уязвимости

Обновление также исправляет проблемы в следующих подсистемах:

  • Инфраструктура файловых систем
  • Сервер NFS (Network File System)
  • SMB-сетевая файловая система
  • Инфраструктура трассировки
  • Протокол B.A.T.M.A.N. meshing
  • DCCP (Datagram Congestion Control Protocol)
  • RxRPC-сессии сокетов

Необходимые действия

После стандартного обновления системы требуется перезагрузка для применения изменений.

Обновление ядра

Для обновления выполните:

sudo apt update && sudo apt upgrade

Проверка версии ядра

После перезагрузки проверьте версию ядра командой:

uname -r

Внимание: изменение ABI

Из-за неизбежных изменений в интерфейсе двоичных приложений (ABI) обновления ядра получили новый номер версии. Это требует перекомпиляции и повторной установки всех сторонних модулей ядра.

Проверка установленных модулей

Для проверки установленных модулей выполните:

ls /lib/modules/$(uname -r)/extra/

Подготовка к обновлению

Перед обновлением рекомендуется создать резервную копию важных данных и убедиться, что у вас есть план отката на случай проблем.

Создание резервной копии

Для создания резервной копии выполните:

sudo tar -czvf backup.tar.gz /etc /var /home

Проверка окна обслуживания

Убедитесь, что обновление проводится в окне обслуживания, чтобы минимизировать влияние на пользователей.

Проверка результата после обновления

После обновления и перезагрузки системы рекомендуется проверить её работоспособность и отсутствие ошибок.

Проверка системных логов

Для проверки системных логов выполните:

sudo journalctl -xe

Тестирование контейнеров

Если вы используете контейнеризированные среды, убедитесь, что они работают корректно после обновления.

docker ps -a

Ограничения и типичные ошибки

При обновлении ядра могут возникнуть следующие проблемы:

  • Несовместимость сторонних модулей ядра
  • Проблемы с загрузкой системы после обновления
  • Ошибки в контейнеризированных средах

Если возникнут проблемы, попробуйте откатить обновление или обратиться в поддержку Ubuntu.

Заключение

Обновление USN-8548-1 исправляет критичные уязвимости в ядре Linux, включая Fragnesia. Рекомендуется как можно скорее применить обновление и перезагрузить систему.