Fragnesia в Linux — новая kernel-уязвимость позволяет локальному пользователю получить root

Операционные системы
White Marlin 8

В Linux раскрыта новая уязвимость повышения привилегий CVE-2026-46300, известная как Fragnesia. Она опасна тем, что локальный пользователь на уязвимой системе может получить root-доступ через ошибку в подсистеме ядра XFRM ESP-in-TCP, а для атаки уже опубликован proof-of-concept.

Fragnesia в Linux — новая kernel-уязвимость
Fragnesia в Linux — новая kernel-уязвимость

Почему Fragnesia важна для администраторов Linux

Fragnesia — это локальная уязвимость повышения привилегий в ядре Linux. Снаружи она не похожа на классическую «удалённую дыру», когда сервер можно взломать просто по сети. Но её опасность в другом: если злоумышленник уже получил обычный пользовательский доступ к системе, например через скомпрометированный аккаунт, уязвимый веб-процесс, контейнер или SSH-учётку, он может поднять права до root.

Root в Linux — это максимальный уровень доступа. С такими правами можно читать и менять системные файлы, устанавливать вредоносные компоненты, отключать защиту, скрывать следы и закрепляться на сервере.

Свежие публикации указывают, что Fragnesia отслеживается как CVE-2026-46300, относится к классу уязвимостей Dirty Frag и затрагивает подсистему XFRM ESP-in-TCP. О раскрытии сообщили 13 мая 2026 года, а 14 мая начали появляться разборы и статусы исправлений от вендоров и исследовательских команд.

Что произошло

Исследователь William Bowling из команды V12 опубликовал описание Fragnesia и proof-of-concept. Уязвимость связана с обработкой сетевых буферов в ядре Linux: при определённых условиях ядро «забывает», что фрагмент данных связан с разделяемой областью памяти, и допускает запись туда, куда писать нельзя.

Если объяснять проще, ядро временно хранит содержимое файлов в page cache — кэше страниц памяти. Обычно это безопасный механизм ускорения: файл читается с диска, попадает в память, и последующие обращения работают быстрее. Но Fragnesia позволяет испортить содержимое такой кэшированной страницы для файла, который на диске остаётся неизменным.

Именно поэтому уязвимость особенно неприятна: атакующий может менять поведение важного системного файла в памяти, не меняя сам файл на диске. В публичном PoC демонстрировалась атака на /usr/bin/su, чтобы получить root-оболочку. Это не означает, что атакующий ограничен только этим файлом, но для обычного читателя достаточно понять главное: проблема не в правах на файл на диске, а в том, что ядро ошибочно разрешает воздействовать на его копию в памяти.

Fragnesia и Dirty Frag — это одно и то же?

Нет. Это отдельная уязвимость, но из того же опасного семейства.

Неделей ранее обсуждалась Dirty Frag — цепочка Linux kernel-уязвимостей, которая тоже приводила к записи в page cache и повышению привилегий. Fragnesia использует похожую поверхность атаки, связанную с XFRM/ESP, но требует отдельного исправления. Это важный момент: если система получила только патчи от Dirty Frag, это ещё не гарантирует защиту от Fragnesia.

При этом временное смягчение риска для Fragnesia совпадает с Dirty Frag: отключение модулей esp4, esp6 и rxrpc, если они не используются в вашей инфраструктуре.

Какие системы находятся в зоне риска

По данным исследователей и вендоров, под угрозой находятся Linux-системы с ядрами, в которых нет исправления от 13 мая 2026 года. Tenable указывает, что уязвимость подтверждена на Ubuntu 6.8.0-111-generic, а затронутыми в разной степени назывались Ubuntu, Debian, RHEL, openSUSE, CentOS Stream, Gentoo и другие дистрибутивы. AlmaLinux и Fedora начали выпускать исправления, а Amazon Linux в разборе Tenable отмечен как не затронутый из-за отсутствия соответствующего модуля.

Важно: статус зависит не от «названия Linux», а от конкретной сборки ядра и наличия исправления у вашего вендора. Поэтому проверять нужно не только дистрибутив, но и пакет ядра.

Чем опасна атака

Fragnesia опасна по нескольким причинам.

Во-первых, это локальное повышение привилегий до root. Такие баги часто используются как второй этап атаки: сначала злоумышленник получает ограниченный доступ, а затем превращает его в полный контроль над сервером.

Во-вторых, для Fragnesia опубликован proof-of-concept. Это ускоряет работу как защитников, так и злоумышленников: администраторы могут проверить риск, но атакующие тоже получают готовую основу для эксплуатации.

В-третьих, атака не требует классической гонки состояний. Уязвимости, завязанные на race condition, часто нестабильны: то сработали, то нет. В случае Fragnesia исследователи подчёркивают более предсказуемый механизм воздействия на page cache.

В-четвёртых, изменение происходит в памяти, а не на диске. Это усложняет восприятие инцидента: файл может выглядеть нормальным при проверке на диске, но его кэшированная версия в памяти уже могла быть временно изменена.

Что делать администраторам

Главная рекомендация — установить обновление ядра от вашего дистрибутива и перезагрузить систему, чтобы новое ядро реально загрузилось.

Минимальный практический план:

  1. Проверьте текущую версию ядра:
uname -r
  1. Проверьте бюллетень безопасности вашего дистрибутива по CVE-2026-46300.
  1. Установите обновления ядра стандартным способом для вашей системы.

Для Ubuntu и Debian-подобных систем:

sudo apt update
sudo apt upgrade
sudo reboot

Для RHEL, AlmaLinux, Rocky Linux, Fedora и совместимых систем:

sudo dnf update 'kernel*'
sudo reboot
  1. После перезагрузки снова проверьте версию ядра:
uname -r

Самая частая ошибка при исправлении kernel-уязвимостей — установить пакет, но не перезагрузить сервер. В таком случае исправленное ядро лежит на диске, но система продолжает работать на старом уязвимом ядре.

Временная защита, если обновить ядро сразу нельзя

Если немедленно обновить ядро и перезагрузить сервер невозможно, вендоры и исследователи указывают временное смягчение риска: заблокировать загрузку модулей esp4, esp6 и rxrpc.

Пример команды, которую публиковали в advisory для AlmaLinux:

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Но здесь есть важное ограничение. Если ваша инфраструктура использует IPsec ESP, AFS или связанные механизмы, такое отключение может сломать рабочие сервисы. Поэтому временную меру нужно применять осознанно, особенно на production-серверах.

Если есть подозрение, что систему уже пытались эксплуатировать, некоторые вендоры также рекомендуют очистить page cache, чтобы вытеснить потенциально изменённые страницы из памяти:

sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

Это не заменяет патч и перезагрузку. Это только дополнительная мера, которая имеет смысл после анализа риска.

Тревожный сигнал для Linux-инфраструктуры

Fragnesia появилась сразу после нескольких громких локальных уязвимостей в Linux. Для администраторов это означает неприятную тенденцию: даже если сервер не имеет открытой «критической» сетевой дыры, локальные kernel-баги могут быстро превращать небольшой компромисс в полный захват системы.

Особенно внимательно к CVE-2026-46300 стоит отнестись владельцам:

  • VPS и выделенных серверов с несколькими пользователями;
  • shared-хостинга;
  • CI/CD-раннеров;
  • серверов с контейнерами;
  • Kubernetes-нод;
  • инфраструктуры, где пользовательские процессы запускаются с ограниченными правами.

Во всех этих сценариях локальное повышение привилегий может стать критическим.

Что пока неизвестно

На момент свежих публикаций нет подтверждённых данных о массовой эксплуатации Fragnesia в реальных атаках. Но наличие публичного PoC резко повышает риск появления практических атак.

Также статус исправлений отличается по дистрибутивам. У одних вендоров патчи уже доступны или находятся в testing-репозиториях, у других статус может быть «needs evaluation» или «vulnerable». Поэтому универсального ответа «обновитесь до такой-то версии» для всех Linux-систем нет.

Итог

Fragnesia — не просто очередная строка в списке CVE. Это свежая Linux kernel-уязвимость, которая показывает, насколько опасными могут быть ошибки в механизмах памяти и сетевой подсистемы ядра. Если сервер уязвим, обычный локальный пользователь потенциально может получить root.

Практический вывод простой: проверьте CVE-2026-46300 у своего дистрибутива, обновите ядро, перезагрузите систему и не полагайтесь только на старые патчи от Dirty Frag. Для серверов с несколькими пользователями, контейнерами или CI/CD-нагрузкой эту уязвимость стоит считать приоритетной.

Теги:
Linux CVE Безопасность Уязвимости Linux Kernel Патчи Root
При использовании материалов сайта необходимо указывать ссылку на TGLand.ru. Если вы копируете фрагменты текста в интернете, прямая гиперссылка, доступная для индексации поисковыми системами, должна быть размещена в начале материала.

Вам также может понравиться

No-code больше не безопасная игрушка — уязвимости в n8n снова показали риск захвата сервера

No-code больше не безопасная игрушка — уязвимости в n8n снова показали риск захвата сервера

15.05.2026
Stealer Backdoor в node-ipc — npm-зависимости снова стали угрозой для разработчиков

Stealer Backdoor в node-ipc — npm-зависимости снова стали угрозой для разработчиков

15.05.2026
AI нашёл в 7 раз больше уязвимостей — почему кибербезопасность входит в новую эпоху

AI нашёл в 7 раз больше уязвимостей — почему кибербезопасность входит в новую эпоху

14.05.2026
AerynOS — подробный обзор независимого Linux для тех, кто устал от сломанных обновлений

AerynOS — подробный обзор независимого Linux для тех, кто устал от сломанных обновлений

14.05.2026
Хакеры использовали AI для zero-day эксплойта — Google зафиксировала новый уровень кибератак

Хакеры использовали AI для zero-day эксплойта — Google зафиксировала новый уровень кибератак

13.05.2026
OpenAI Daybreak — как ИИ меняет кибербезопасность и ускоряет поиск уязвимостей

OpenAI Daybreak — как ИИ меняет кибербезопасность и ускоряет поиск уязвимостей

13.05.2026
Вернуться в категорию «Операционные системы»