USN-8548-1: Уязвимости ядра Linux в Ubuntu
Команда безопасности Ubuntu выпустила обновление USN-8548-1, исправляющее несколько уязвимостей в ядре Linux. Обновления касаются пакетов linux-aws (ядро для AWS), linux-fips (FIPS-совместимое ядро) и linux-lts-xenial (HWE-ядро Xenial для Trusty).
Критичная уязвимость Fragnesia (CVE-2026-43503)
Обнаружена логическая ошибка в подсистеме XFRM ESP-in-TCP, позволяющая локальному атакующему повысить привилегии или выйти за пределы контейнера. Уязвимость известна как Fragnesia.
Кого это касается?
- Серверы с ядром Ubuntu, особенно на AWS
- Системы с FIPS-совместимым ядром
- Пользователи HWE-ядра Xenial
- Контейнеризированные среды (возможность выхода из контейнера)
Как оценить риск?
Уязвимость позволяет локальному пользователю повысить привилегии или выйти за пределы контейнера. Это особенно критично для:
- Серверов с несколькими пользователями
- Контейнеризированных сред (Docker, Kubernetes)
- Систем с чувствительными данными
Дополнительные исправленные уязвимости
Обновление также исправляет проблемы в следующих подсистемах:
- Инфраструктура файловых систем
- Сервер NFS (Network File System)
- SMB-сетевая файловая система
- Инфраструктура трассировки
- Протокол B.A.T.M.A.N. meshing
- DCCP (Datagram Congestion Control Protocol)
- RxRPC-сессии сокетов
Необходимые действия
После стандартного обновления системы требуется перезагрузка для применения изменений.
Обновление ядра
Для обновления выполните:
sudo apt update && sudo apt upgrade
Проверка версии ядра
После перезагрузки проверьте версию ядра командой:
uname -r
Внимание: изменение ABI
Из-за неизбежных изменений в интерфейсе двоичных приложений (ABI) обновления ядра получили новый номер версии. Это требует перекомпиляции и повторной установки всех сторонних модулей ядра.
Проверка установленных модулей
Для проверки установленных модулей выполните:
ls /lib/modules/$(uname -r)/extra/
Подготовка к обновлению
Перед обновлением рекомендуется создать резервную копию важных данных и убедиться, что у вас есть план отката на случай проблем.
Создание резервной копии
Для создания резервной копии выполните:
sudo tar -czvf backup.tar.gz /etc /var /home
Проверка окна обслуживания
Убедитесь, что обновление проводится в окне обслуживания, чтобы минимизировать влияние на пользователей.
Проверка результата после обновления
После обновления и перезагрузки системы рекомендуется проверить её работоспособность и отсутствие ошибок.
Проверка системных логов
Для проверки системных логов выполните:
sudo journalctl -xe
Тестирование контейнеров
Если вы используете контейнеризированные среды, убедитесь, что они работают корректно после обновления.
docker ps -a
Ограничения и типичные ошибки
При обновлении ядра могут возникнуть следующие проблемы:
- Несовместимость сторонних модулей ядра
- Проблемы с загрузкой системы после обновления
- Ошибки в контейнеризированных средах
Если возникнут проблемы, попробуйте откатить обновление или обратиться в поддержку Ubuntu.
Заключение
Обновление USN-8548-1 исправляет критичные уязвимости в ядре Linux, включая Fragnesia. Рекомендуется как можно скорее применить обновление и перезагрузить систему.