Tai naujas Linux branduolio pažeidžiamumas, aptiktas RDS modulyje. Jis leidžia vietiniam piktnaudžiautojui gauti administratoriaus teises Arch Linux sistemoje naudojant viešai prieinamą išnaudojimo pavyzdį.

Kokių sąlygų reikia, kad ataka pasisektų?

Reikia, kad kompiuteryje veiktų RDS branduolio modulis, būtų įjungtas io_uring sąsajos mechanizmas, egzistuotų skaitomas SUID-root failas ir sistema veiktų x86_64 architektūroje.

Greičiausias būdas – atnaujinti Linux branduolį iki naujausios versijos. Jei tai neįmanoma iš karto, galima iškrauti RDS modulį arba taikyti kitas pataisas, kurias pateikia platinėjas. Taip pat rekomenduojama stebėti sistemos branduolio atnaujinimus.

Ar kitos distribucijos pažeidžiamos?

Pažeidžiamumas egzistuoja visose Linux sistemose, kuriose įjungtas RDS modulis, tačiau pagal numatytuosius nustatymus jis aktyvus tik Arch Linux. Kai kurios specializuotos versijos, tokios kaip Proteus, taip pat gali būti rizikos zonoje.

PinTheft: nauja Arch Linux spraga leidžia gauti administratoriaus teises

Saugumo tyrėjų komanda V12 paskelbė apie naują Linux branduolio spragą, kuri jau turi viešai prieinamą išnaudojimo pavyzdį. Pažeidžiamumas, pavadintas PinTheft, leidžia vietiniam piktnaudžiautojui įsigyti administratoriaus, arba root, teises Arch Linux sistemoje.

Spraga slypi Linux branduolio RDS (Reliable Datagram Sockets) dalyje ir susijusi su vadinamuoju dvigubu atlaisvinimu: kai RDS modulis bando nukopijuoti duomenis tiesiai iš naudotojo atminties į branduolį, netinkamai valdo atminties nuorodas. Pažeidžiama funkcija pinna atminties puslapius po vieną, tačiau, jei vėliau nepavyksta apdoroti puslapio, klaidų taisymo kelias atlaisvina jau prisegtus puslapius branduolį, o vėlesnis RDS pranešimų valymas bando tuos pačius puslapius atlaisvinti dar kartą. Tai leidžia pavogti nuorodas ir panaudoti jas per kitą branduolio funkciją, io_uring, iki kol pavyksta gauti root shell.

Sėkmingam išnaudojimui reikia, kad kompiuteryje būtų įjungtas RDS modulis, įgalintas io_uring sąsajos mechanizmas, egzistuotų skaitomas SUID-root dvejetainis failas ir veiktų x86_64 pagrindinė sistema. Daugumoje Linux distribucijų RDS neįjungtas pagal nutylėjimą, tačiau Arch Linux tai yra numatytasis nustatymas, todėl šios sistemos naudotojams kyla didžiausia grėsmė.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Neseniai ta pati kibernusikaltėlių veikla sričioje matyti ženklų, kad panašios spragos aktyviai išnaudojamos. JAV Kibernetinio saugumo ir infrastruktūros apsaugos agentūra gegužės 1 d. pridėjo susijusį pažeidžiamumą Copy Fail prie viešai žinomų išnaudojimų sąrašo. Linux naudotojams, kurie negali iš karto atsinaujinti branduolio, ekspertai rekomenduoja rankiniu būdu iškrauti RDS modulį arba taikyti kitas pataisas, kol išeis naujausia versija.

Dažnai užduodami klausimai

Kas yra PinTheft?: Tai naujas Linux branduolio pažeidžiamumas, aptiktas RDS modulyje. Jis leidžia vietiniam piktnaudžiautojui gauti administratoriaus teises Arch Linux sistemoje naudojant viešai prieinamą išnaudojimo pavyzdį.
Kokių sąlygų reikia, kad ataka pasisektų?: Reikia, kad kompiuteryje veiktų RDS branduolio modulis, būtų įjungtas io_uring sąsajos mechanizmas, egzistuotų skaitomas SUID-root failas ir sistema veiktų x86_64 architektūroje.
Kaip apsisaugoti?: Greičiausias būdas – atnaujinti Linux branduolį iki naujausios versijos. Jei tai neįmanoma iš karto, galima iškrauti RDS modulį arba taikyti kitas pataisas, kurias pateikia platinėjas. Taip pat rekomenduojama stebėti sistemos branduolio atnaujinimus.
Ar kitos distribucijos pažeidžiamos?: Pažeidžiamumas egzistuoja visose Linux sistemose, kuriose įjungtas RDS modulis, tačiau pagal numatytuosius nustatymus jis aktyvus tik Arch Linux. Kai kurios specializuotos versijos, tokios kaip Proteus, taip pat gali būti rizikos zonoje.

Šaltiniai

Exploit released for new PinTheft Arch Linux root escalation flawBleepingcomputer · 2026
V12 security advisory – PinTheftV12 · 2026