Canonical подтвердила, что в Ubuntu устранена уязвимость ядра Linux DirtyClone
Компания Canonical опубликовала дополнительную информацию о DirtyClone, недавно обнаруженной уязвимости в ядре Linux, которая позволяет локальному пользователю получить права суперпользователя в уязвимых системах.
Уязвимость DirtyClone, обозначенная как CVE-2026-43503, была публично раскрыта компанией JFrog 25 июня 2026 года и имеет оценку CVSS 3.1 8,8 (высокая степень опасности). В Canonical отмечают, что о проблеме было ответственно сообщено разработчикам ядра Linux ранее, а запись CVE была опубликована 23 мая. Первые обновления безопасности Ubuntu, устраняющие эту уязвимость, были выпущены 2 июня.
Напоминаем, что DirtyClone — это уязвимость, связанная с повышением привилегий на локальном уровне, которая позволяет локальному пользователю получить root-доступ. В случае развертывания контейнеров со сторонними рабочими нагрузками, как отмечает Canonical, уязвимость может привести к выходу из контейнера, хотя эксплойтов для этого сценария пока не опубликовано.
DirtyClone затрагивает те же компоненты, что и ранее обнаруженные уязвимости Dirty Frag и Fragnesia. Системы, в которых администраторы уже заблокировали уязвимые модули ядра для устранения этих проблем, также защищены от DirtyClone.
Для пользователей Ubuntu исправление доступно в виде пакетов с образами ядра Linux. Исправление включено в следующие версии ядра:
- Ubuntu 26.04 LTS: 7.0.0-22.22
- Ubuntu 20.04 LTS with 5.15 kernel: 5.15.0-181.191~20.04.1
- Ubuntu 22.04 LTS: 5.15.0-181.191
- Ubuntu 24.04 LTS: 6.8.0-124.124
- Ubuntu 25.10: 6.17.0-35.35
Важно отметить, что системы Ubuntu 20.04 LTS, в которых по-прежнему используется ядро 5.4, также подвержены уязвимости. В таблице Canonical указаны и более старые версии, в том числе 14.04 LTS, 16.04 LTS и 18.04 LTS.
Пользователи могут проверить текущую версию ядра с помощью uname -r. Canonical также предлагает проверять установленные пакеты образов ядра с помощью:
dpkg -l 'linux-image*' | grep ^ii.
Чтобы установить доступные обновления системы безопасности, пользователям Ubuntu следует выполнить обычную команду обновления пакетов:
sudo apt update && sudo apt upgrade
Если вы хотите обновить только метапакет ядра, Canonical предлагает специальную последовательность команд. Однако для большинства пользователей полное обновление системы проще и безопаснее.
Как и в случае со всеми обновлениями ядра, установка пакета — это только часть процесса. Для запуска исправленного ядра требуется перезагрузка. Canonical также отмечает, что в Ubuntu 16.04 LTS и более новых версиях по умолчанию включена функция автоматической установки обновлений, поэтому обновления безопасности могут устанавливаться автоматически в течение 24 часов. Однако перезагрузка все равно необходима.
Более подробная информация доступна в объявлении Canonical.
Редактор: AndreyEx