A biztonsági kutatók közzétettek egy részletes, működő kihasználást egy Linux kernel use-after-free sebezhetőséghez, amely lehetővé teszi, hogy egy nem privilegizált helyi felhasználó root jogosultságokat szerezzen és kijusson egy konténerből.

A hiba, a CVE-2026-23111, a kernel nf_tables csomagszűrő kódjában található, és javítócsomagot kaptak 2026. február 5-én. Az Exodus Intelligence június 8-án közzétette a teljes technikai útmutatóját, és ez még csak nem is az első nyilvános kihasználás: a FuzzingLabs már áprilisban közzétett egy független reprodukciót.

A hiba egyetlen eltévedt karakterre vezethető vissza, egy fordított ellenőrzésre az nf_tables-ben, és a fenti javítás egy sorral eltávolította azt. A Ubuntu a hibát CVSS 7.8 (magas) szintre értékeli. Ha a disztribúciód kernel csomagja még nem tartalmazza a javítást, frissíts és indítsd újra a rendszert.

A hozzáférhető beállítás gyakori: nf_tables és nem privilegizált felhasználói névterek, egy Linux funkció, amely lehetővé teszi, hogy egy normál fiók rootként működjön egy privát homokozóban, és elérje a kernel kódot, amelyet egyébként nem tudna.

Ezek alapértelmezés szerint megtalálhatóak a legtöbb asztali környezetben és sok szerver konfigurációban. Önmagában nincs távoli kihasználási lehetőség. Ez egy hiba, amelyhez a támadó akkor nyúl, miután már bejutott a rendszerbe, és egy alacsony jogosultságú shellt, egy kompromittált konténert vagy egy szolgáltatási fiókot root jogosultságúvá alakít a gazdagépen.

Oliver Sieber, az Exodus kutatója, aki 2025 elején találta meg a hibát, egy teljes helyi root kihasználásba láncolta azt. A kihasználás aktiválja a use-after-free-t, megkerüli a kernel beépített memória védelmeit, majd átveszi a végrehajtás irányítását, hogy root jogosultságot szerezzen és kijusson a konténer névtartományából.

Demonstrálta a Debian Bookworm, a Debian Trixie, a Ubuntu 22.04 LTS és a Ubuntu 24.04 LTS rendszereken.

A FuzzingLabs a RHEL 10-en reprodukálta a hibát a Pwn2Own Berlin 2026 előtt, saját root kihasználását egy másik úton építve fel. Az idővonal szoros: a javítás február 5-én jelent meg, a FuzzingLabs április 16-án publikálta, az Exodus részletes írása pedig június 8-án érkezett.

A technika most már dokumentálva van a Debian, Ubuntu és Red Hat rendszereken. Mivel a hiba a fő ágon található, bármely disztribúció, amely sebezhető kernel-t szállított mindkét funkció engedélyezésével, ki van téve, hacsak a disztribúció keményítése vagy névtartomány korlátozások nem blokkolják az utat.

A CVE-2026-23111 a Linux helyi root sebezhetőségek közepén található. Az utóbbi hetekben megjelent a Copy Fail, a Dirty Frag lánc, annak Fragnesia változata, a DirtyDecrypt, és egy kilenc éves ptrace hiba, amely olvassa a /etc/shadow-t és parancsokat futtat rootként.

A részletekben eltérnek, de közös bennük, ami aggasztó lehet a védelmezők számára: egy nem privilegizált bejutás folyamatosan root jogosultságúvá alakul át a normál telepítéseken.

Frissítsd a kernel-t és indítsd újra a rendszert. A hiba csak helyi, és szüksége van nem privilegizált felhasználói névterekre, ezért először azokra a rendszerekre összpontosíts, amelyek lehetővé teszik a nem privilegizált felhasználók vagy munkaterhelések létrehozását.

A Ubuntu javításai elérhetők a 22.04, 24.04 és 25.10 verziókhoz, a Debian pedig javította a Bookwormot és a Trixie-t, Bullseye LTS-hez pedig egy 6.1-es visszafejlesztés készült. A Red Hat, a SUSE és az Amazon Linux is nyomon követi a hibát; ellenőrizd a disztribúciód tájékoztatóját a megfelelő kernel csomagról, mivel a pontos javított verzió eltérhet. A fenti javítás egyetlen kódsorból állt.

Van egy nagyobb kép is. Egy friss LPE hullámról szóló áttekintésben a Synacktiv a sebességet az AI-támogatott kutatásra és a javítócsomagok közötti eltérések elemzésére vezeti vissza, amely lehetővé tette a működő kihasználások közzétételét, mielőtt a javítások elterjedtek volna, és érvel a közönséges keményítés mellett, amely még mindig időt ad a védelmezőknek.

A legtöbb hiba opcionális kernel funkciókra vagy laza alapértelmezésekre támaszkodik, ezért a nem privilegizált felhasználók elérhetőségének korlátozása, jelen esetben a felhasználói névterek, megakadályozza a kihasználást, amíg a javítás elérhetővé nem válik.

Nincsenek nyilvános jelentések a kihasználásról a valóságban, és egyetlen fenyegető szereplőt sem kötöttek a hibához. A javítócsomag február óta elérhető, és a kihasználási kód április óta nyilvános.