r/ru_linux

Обнаружена критическая уязвимость повышения привилегий (LPE) CVE-2026-31431, получившая название Copy Fail. Уязвимость позволяет локальному непривилегированному пользователю получить права суперпользователя (root) практически мгновенно.

Проблема затрагивает системы с ядром Linux версии 4.14 и выше, если в них включена поддержка сокетов AF_ALG. Уязвимость подтверждена на ряде дистрибутивов, включая Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023 и SUSE 16. Эксплуатация не требует подбора смещений или дополнительной адаптации.

Причина уязвимости - логическая ошибка в криптографической подсистеме ядра (crypto API / AF_ALG), возникшая в результате оптимизации, внесённой в 2017 году. Комбинация компонентов authencesn, AF_ALG и системного вызова splice() позволяет атакующему перезаписывать 4 байта в page cache ядра по произвольному смещению.

За счёт многократного выполнения операции возможно изменение содержимого страничного кэша файлов, доступных на чтение. Поскольку операционная система использует кэш при работе с файлами, это позволяет внедрить произвольный код в исполняемые файлы с установленным битом suid root (например, /usr/bin/su). При последующем запуске такого файла злоумышленник получает права root.

Уязвимость была обнаружена с использованием инструментов на базе искусственного интеллекта. Исправление уже внесено в ядро Linux и включено в стабильные обновления. Проблема устранена в версиях 6.18.22, 6.19.12, 7.0, а также в LTS-ветках 5.10.254, 5.15.204, 6.1.170, 6.6.137 и 6.12.85.

В качестве временной меры рекомендуется отключить модуль algif_aead, предварительно убедившись, что он не используется:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

Системы Android не подвержены данной уязвимости благодаря ограничениям SELinux. Разработчики ядра рассматривают возможность отказа от AF_ALG в пользу пользовательских криптографических библиотек.

С 30 апреля веб-инфраструктура компании Canonical и связанных с проектом Ubuntu сервисов подвергается продолжительной распределённой атаке отказа в обслуживании (DDoS). По состоянию на текущий момент атака продолжается более 18 часов.

В результате воздействия временно недоступны основной сайт Ubuntu, ряд поддоменов, а также сервисы Launchpad, Snap и API Livepatch.

Компания Canonical подтвердила факт атаки и заявила, что предпринимает меры для её устранения. Дополнительная информация будет опубликована через официальные каналы по мере поступления.

Ответственность за атаку взяла на себя группа Islamic Cyber Resistance - 313 Team. По имеющимся данным, злоумышленники направили компании требования о выходе на связь, сопровождая атаку попыткой вымогательства.

Отмечается, что сама операционная система Ubuntu и её репозитории APT не скомпрометированы. Доступ к пакетам обеспечивается через распределённую зеркальную инфраструктуру.

I love crowdstrike, its amazing.
However, its Linux agent isn't the best. I tested an open-source Linux EDR solution and I loved it.
So I wanted to know why aren't Crowdstrike copying it, collobarating with it or just using it?
I think it can dramatically improve the Linux agent.

The open-source project that I used: https://github.com/Cybereason-Public/owLSM

"Не защищены"... Я ебал в рот гугл, активно пытаются пересадить меня на графен

Среда GNOME обновлена до версии 50. Поддержка X11 удалена. Реализована новая система сохранения сеансов, переработан механизм родительского контроля, добавлена поддержка VRR и color-management-v2.

В редакциях с KDE, включая Kinoite, для первичной настройки используется Plasma Setup, дисплейный менеджер SDDM заменён на Plasma Login Manager. Среда Budgie переведена на Wayland. Обновлена редакция Fedora Games Lab: модернизирован стек запуска игр, применяются Wayland и PipeWire.

По умолчанию активирован модуль ядра NTSYNC, реализующий примитивы синхронизации NT, что повышает производительность Windows-приложений под Wine. Доля воспроизводимых сборок доведена до 99% пакетов. PackageKit переведён на бэкенд DNF5. В репозитории добавлен пакетный менеджер Nix.

В атомарных редакциях удалены FUSE 2 и устаревшие правила polkit (pkla). Прекращена поставка сборок QEMU для архитектуры i686. Подключены репозитории RPM Fusion (free и nonfree).

Обновлены ключевые компоненты: GCC 16.1-prerelease, LLVM 22, Go 1.26, Rust 1.93, glibc 2.43, MariaDB 11.8, PHP 8.5.