GhostLock (CVE-2026-43499): новая опасная уязвимость ядра Linux и риск локального получения root-доступа
Пользователям Linux вновь приходится обратить внимание на серьезную проблему безопасности. Исследователи компании Nebula Security сообщили об уязвимости GhostLock, зарегистрированной под идентификатором CVE-2026-43499. Ошибка затрагивает механизм наследования приоритетов futex и rtmutex внутри ядра Linux и потенциально позволяет непривилегированному локальному пользователю повысить свои права до уровня суперпользователя (root).
Уязвимость получила оценку 7,8 балла по шкале CVSS 3.1, что соответствует высокому уровню опасности. Несмотря на отсутствие возможности удаленной эксплуатации без предварительного доступа к системе, подобные ошибки представляют значительный риск для корпоративной инфраструктуры, серверов виртуализации и контейнерных платформ.
Что представляет собой GhostLock
GhostLock появилась практически сразу после обнаружения другой известной уязвимости ядра Linux — DirtyClone. Однако эти проблемы никак не связаны между собой.
Если DirtyClone затрагивала сетевой стек и обработку буферов сокетов, то GhostLock находится значительно глубже — непосредственно в механизмах синхронизации потоков ядра. Проблема располагается в коде наследования приоритетов, который используется для предотвращения так называемой инверсии приоритетов при работе потоков и процессов.
По информации исследователей, ошибка присутствует начиная с версии Linux 2.6.39, выпущенной еще в 2011 году. Это означает, что уязвимость существовала около пятнадцати лет и затрагивала огромное количество серверов и рабочих станций.
Почему возникает ошибка
В процессе обработки очередей ожидания ядро может некорректно выполнить откат операций и удалить не ту задачу из структуры данных. В результате остается устаревшее состояние наследования приоритета.
Такое нарушение внутренней логики способно привести к классической ошибке типа Use-After-Free, когда ядро продолжает использовать уже освобожденную область памяти.
Именно подобные ошибки традиционно считаются одними из наиболее опасных:
- они позволяют вмешиваться в работу ядра;
- могут использоваться для записи произвольных данных;
- нередко становятся основой для стабильной локальной эскалации привилегий;
- сложно обнаруживаются при обычном тестировании.
Насколько серьезна угроза
Важно понимать ограничения эксплуатации. GhostLock не позволяет атакующему получить доступ к системе через Интернет самостоятельно. Для успешной атаки злоумышленник уже должен иметь возможность запускать собственный код внутри операционной системы.
Тем не менее подобная ситуация встречается значительно чаще, чем может показаться. Современные корпоративные инфраструктуры содержат множество сервисов, где работают пользователи с ограниченными правами, выполняются автоматизированные сборки или запускаются контейнеры.
Наибольший риск возникает для:
- многопользовательских Linux-серверов;
- облачных платформ;
- CI/CD-систем;
- серверов разработки;
- контейнерных платформ Docker и Kubernetes;
- хостов виртуализации.
Во всех этих случаях локальная уязвимость может стать последним этапом цепочки атаки после первоначального проникновения.
Опасность для контейнеров
Особое внимание специалисты уделяют возможности выхода из контейнера на хостовую систему. По данным Nebula Security, GhostLock может использоваться для компрометации самого узла, если злоумышленник уже получил возможность выполнять код внутри контейнера.
Это особенно важно для облачных провайдеров, хостингов, Kubernetes-кластеров и других мультиарендных платформ, где множество независимых пользователей используют общее ядро Linux.
AlmaLinux также подтверждает, что эксплуатация возможна изнутри контейнера без наличия дополнительных привилегий, что существенно повышает практическую значимость проблемы.
Какие дистрибутивы уже выпустили исправления
Ситуация с обновлениями отличается в зависимости от поставщика операционной системы.
- Debian уже выпустил исправления для поддерживаемых веток ядра.
- Ubuntu устранила проблему в ядре версии 26.04 LTS, тогда как некоторые предыдущие LTS еще ожидают обновлений.
- SUSE подготовила исправления для корпоративных продуктов и openSUSE.
- Oracle Linux обновила ядра UEK для версий 9 и 10.
- AlmaLinux разместила обновления в тестовых репозиториях для выпусков 8, 9 и 10.
- Amazon Linux пока продолжает подготовку исправлений.
- Red Hat постепенно публикует обновления безопасности для различных выпусков RHEL.
Из-за различий в графике публикации обновлений нельзя ориентироваться исключительно на дату последнего обновления системы. Гораздо надежнее проверить номер установленного ядра и сравнить его с информацией из официального бюллетеня безопасности конкретного дистрибутива.
Что необходимо сделать администраторам
На момент публикации универсального способа защиты без обновления ядра не существует. Некоторые механизмы усиления безопасности могут усложнить эксплуатацию ошибки, однако полностью устранить риск они не способны.
Рекомендуется выполнить следующие действия:
- проверить текущую версию ядра;
- изучить бюллетень безопасности своего дистрибутива;
- установить последние обновления ядра;
- обязательно выполнить перезагрузку системы после обновления;
- ограничить доступ непривилегированных пользователей к критически важным серверам до установки исправлений;
- контролировать журналы безопасности и подозрительную локальную активность.
Особенно важно своевременно обновить серверы, обслуживающие большое количество пользователей или контейнеров, поскольку именно они являются наиболее привлекательной целью для злоумышленников.
Почему подобные ошибки становятся все сложнее
Современное ядро Linux содержит миллионы строк кода и огромное количество механизмов синхронизации, управления памятью и планирования процессов. Многие из них создавались десятилетиями и оптимизировались под различные архитектуры процессоров.
Даже небольшая логическая ошибка внутри подобных подсистем может долгое время оставаться незамеченной, поскольку проявляется лишь при редком сочетании событий. Именно поэтому исследователи регулярно проводят аудит старых компонентов ядра и продолжают обнаруживать уязвимости, существующие более десяти лет.
GhostLock еще раз демонстрирует, что даже зрелые и хорошо протестированные проекты нуждаются в постоянном анализе безопасности и своевременном выпуске исправлений.
Дополнительную информацию можно найти в посте Nebula.
Выводы
GhostLock (CVE-2026-43499) относится к числу наиболее значимых локальных уязвимостей Linux последних лет. Хотя она не предоставляет возможности удаленного взлома сама по себе, ее успешная эксплуатация способна привести к полному захвату системы после получения локального доступа.
Особенно высокий риск наблюдается в контейнерных инфраструктурах, облачных сервисах и многопользовательских серверах. Единственной надежной мерой защиты остается установка официальных обновлений ядра от производителя дистрибутива и обязательная перезагрузка системы после их установки.
Часто задаваемые вопросы
Что такое GhostLock?
GhostLock — это локальная уязвимость ядра Linux (CVE-2026-43499), связанная с механизмом наследования приоритетов futex и rtmutex, которая может привести к повышению привилегий до root.
Можно ли атаковать компьютер удаленно?
Нет. Для эксплуатации злоумышленник должен сначала получить возможность выполнять код локально внутри системы или контейнера.
Какие системы находятся в зоне риска?
Наибольшую опасность уязвимость представляет для серверов Linux, контейнерных платформ, облачных инфраструктур, систем непрерывной интеграции и многопользовательских рабочих станций.
Достаточно ли установить обновления без перезагрузки?
Нет. После установки нового ядра необходимо обязательно перезагрузить систему, иначе продолжит использоваться старая уязвимая версия ядра.
Можно ли полностью защититься без обновления ядра?
Нет. Дополнительные меры безопасности могут лишь затруднить эксплуатацию, но не устраняют саму ошибку. Полная защита достигается только установкой исправленного ядра.
Редактор: AndreyEx