Раньше подобные ошибки считали точечными: один баг, один сценарий, один пострадавший сервер. GhostLock ломает эту логику — уязвимость CVE-2026-43499 сидит в ядре Linux с 2011 года, затрагивает почти все крупные дистрибутивы и даёт локальному пользователю права root.
Что это за уязвимость GhostLock
GhostLock — это ошибка в ядре Linux, которую исследователи Nebula Security связали с подсистемой rtmutex и функцией remove_waiter(). На практике баг открывает путь к повышению привилегий: непривилегированный пользователь может получить полный контроль над системой.
Опасность не только в root-доступе. Уязвимость также позволяет вырваться из контейнера и перейти к хосту, если атакующий уже получил локальный доступ внутри изолированной среды.
Как она работает технически
Проблема всплывает при откате операции futex_requeue() после обнаружения дедлока. Код должен удалить ожидающий поток из очереди блокировки и очистить связанное состояние, но по ошибке обращается не к тому объекту.
Из-за этого в структуре «спящего» потока остаётся указатель на объект waiter в стеке ядра. Когда поток возвращается в userspace, память под этот участок стека уже может быть занята снова, а ссылка на старый объект остаётся живой. Это классический use-after-free: ядро начинает работать с уже недействительным адресом.
Исследователи утверждают, что собрали эксплоит, который в тестах срабатывал в 97 % случаев и укладывался примерно в пять секунд. Для атаки не нужны дополнительные привилегии, необычные настройки ядра или сетевой доступ.
Почему это опасно для серверов и контейнеров
GhostLock бьёт по самому неприятному сценарию: атакующий начинает с обычной локальной учётной записи, а заканчивает полным контролем над машиной. Для администраторов это уже не «ошибка приложения», а риск утечки данных, установки вредоносного ПО и захвата инфраструктуры.
Для контейнерных сред угроза ещё жёстче. Если атакующий закрепился внутри контейнера, GhostLock может помочь ему выйти за пределы изоляции и добраться до хоста. Именно поэтому такие баги особенно опасны для серверов, CI/CD-конвейеров и общих Linux-узлов.
О похожем классе рисков мы уже писали в разборе Januscape в KVM: 16-летняя дыра в гипервизоре Linux — там тоже речь шла о старой ошибке, которая долго не попадала в поле зрения.
Как понять, что это касается вас
Если у вас Linux-сервер, рабочая станция разработчика, контейнерный хост или облачная виртуалка на популярных дистрибутивах, риск стоит проверить в первую очередь. Отдельно насторожиться должны команды, которые запускают контейнеры с внешним доступом для подрядчиков, тестировщиков или автоматизации.
Симптомов на глаз почти нет. GhostLock не выглядит как сбой браузера или очевидная ошибка приложения; это уязвимость уровня ядра, и обнаружить её по поведению системы обычно нельзя.
Если у вас в инфраструктуре есть доступные локальные аккаунты, общие сборочные машины или узлы для разработки, вопрос обновления ядра лучше считать срочным. Иначе один скомпрометированный вход может стать точкой входа во всю систему.
Что делать прямо сейчас
По данным исследователей, исправление уже вошло в ядро в апреле 2026 года, но ставить стоит не первый доступный патч, а самый свежий билд. Причина проста: первоначальная правка сама вызвала отдельную ошибку CVE-2026-53166, способную уронить систему.
Параметры RANDOMIZE_KSTACK_OFFSET и STATIC_USERMODE_HELPER могут усложнить атаку, но не закрывают дыру полностью. Поэтому основная мера — обновление ядра и контроль за тем, какие версии стоят на рабочих и серверных узлах.
Если вам нужна дополнительная защита данных в поездках и при работе с чужими сетями, можно рассмотреть сервис для поездок и командировок как один из слоёв защиты, но он не заменяет обновление системы и патчи ядра.
Практический чек-лист
- Проверить, какая версия ядра стоит на всех Linux-узлах.
- Сверить её с исправленными сборками у вашего дистрибутива.
- Поставить самое свежее ядро, а не первый патч из цепочки обновлений.
- Перезапланировать перезагрузку там, где обновление уже установлено, но ядро ещё не загружено.
- Проверить контейнерные хосты, общие серверы разработки и CI/CD-узлы в первую очередь.
- Ограничить локальные учётные записи там, где это возможно.
- Следить за уведомлениями дистрибутива о сопутствующих исправлениях и регрессиях.
- Не считать RANDOMIZE_KSTACK_OFFSET и STATIC_USERMODE_HELPER полноценной заменой патча.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.