A Linux-felhasználóknak egy újabb kernel jogosultságkiterjesztési hibával kell foglalkozniuk. A Nebula Security által GhostLock néven emlegetett, CVE-2026-43499 azonosítójú hiba a Linux kernel futex és rtmutex prioritásöröklési kódját érinti, és lehetővé teszi, hogy egy nem privilégizált helyi felhasználó root jogot szerezzen a sérülékeny rendszereken.
A sebezhetőség CVSS 3.1 pontszáma 7,8, amit az NVD High, azaz magas besorolásúnak minősít. Ez a kategória komoly, de helyi támadási lehetőséget jelent.
A probléma szorosan követi a DirtyClone nevű, nemrég felfedezett Linux kernel sebezhetőséget, amely szintén helyi root jogosultság megszerzéséhez vezethetett. A GhostLock azonban ettől független hiba. Míg a DirtyClone a hálózati stackhez és a socket buffer darabolás kezeléséhez kapcsolódott, a GhostLock a kernel zárolási kódjának mélyebb rétegében található.
A Nebula Security szerint a probléma 2011-ig nyúlik vissza (a Linux kernel 2.6.39-es verziójától kezdve), vagyis nagyjából 15 éves. A sérülékeny logika a kernel valós idejű mutex kódjában található, pontosabban a futex prioritásöröklési ágában.
Egyszerűbben fogalmazva: a kernel a visszagörgetési útvonal során rossz feladatot takaríthat el, és így hátramarad egy elavult prioritásöröklési állapot. Ez use-after-free helyzethez vezethet, amit a kutatók szerint megbízható helyi jogosultságkiterjesztési exploitként lehet kihasználni.
A hatás súlyos, de fontos pontosan érteni a kereteit. A sebezhetőség nem teszi lehetővé a távoli átvételt, mert a támadónak először helyi kódfuttatást kell elérnie. Ez a feltétel azonban sok környezetben nem túl erős korlát: ilyenek a megosztott rendszerek, konténer hostok, CI futtatók, fejlesztői gépek vagy olyan szerverek, ahol alacsony jogosultságú fiókok már kompromittálódhattak.
A Nebula Security szerint a GhostLock konténerből is kihasználható a host rendszerre való kitöréshez, ezért a sebezhetőség különösen fontos a több-bérlős és konténerizált környezetekben. Az AlmaLinux közleménye szintén helyi root hibaként írja le, amelyet konténeren belülről is ki lehet használni, különleges képességek nélkül.
A javítások állapota disztribúcióként eltérő. Debian már kiadta a javításokat a támogatott kernel ágakhoz. Ubuntu megoldotta a problémát a 26.04 LTS fő kernel csomagjában, de több régebbi LTS verzió továbbra is sérülékeny, vagy még várja a frissítést. A SUSE több enterprise és openSUSE ághoz is közzétette a javításokat.
Az Oracle Linux a 9-es és 10-es verziókhoz adta ki az UEK javításokat. Az AlmaLinux a 8-as, 9-es és 10-es verziókhoz elérhetővé tette a javítócsomagokat a testing tárolóban, a termelési környezetbe szánt frissítés még folyamatban van. Az Amazon Linux továbbra is javításra váróként listázza az érintett kernel csomagokat, a Red Hat pedig folyamatosan frissíti az érintett RHEL kiadásokat.
Fontos, hogy a felhasználók ne gondolják automatikusan biztonságban magukat csak azért, mert a disztribúciójuk nemrég adott ki kernel frissítéseket. A biztos ellenőrzéshez a futó kernel verzióját kell összevetni a disztribúció saját biztonsági nyilvántartójában felsorolt, már javított verzióval, majd újra kell indítani a rendszert az új kernel-val.
A cikk írásakor nincs általános kerülőmegoldás a GhostLock ellen. Bizonyos hardening beállítások megnehezíthetik a kihasználást, de nem helyettesítik a gyártó kernel frissítéseit. Termelési rendszereknél, különösen többfelhasználós szervereknél és konténer hostoknál az egyetlen hatékony megoldás, ha a disztribúció által kiadott, javított kernel-t telepítik.
További részletek a Nebula bejegyzésében olvashatók.

