kuidas puuduv copy-on-write kaitse murdis linuxi tuuma turvamudeli

Mitme miljoni dollariline kaitsestrateegia tugineb tavaliselt eeldusele, et operatsioonisüsteemi põhituum on staatiline ja purunematu hoidla. Me kulutame aastaid tulemüürireeglite, identiteedipakkujate ja lõppseadmete tuvastamise skriptide täiustamisele, kuid arhitektuurne vundament jääb sageli kõige hapramaks komponendiks. Linux kasutab mälu efektiivsuse haldamiseks optimeerimist nimega copy-on-write (COW). See süsteem tagab, muuhulgas, et mitu protsessi jagavad sama füüsilist mälu, kuni üks neist peab seda muutma. Sel hetkel peaks tuum looma privaatse koopia, et vältida muudatuse mõju teistele kasutajatele. CVE-2026-31635 puhul see põhilubadus ebaõnnestus.

Veetsin viimased 48 tundi vaadates läbi DirtyDecrypti (tuntud ka kui DirtyCBC) jaoks avaldatud kontseptsiooni tõestuse (PoC) koodi. See haavatavus on õpikunäide arhitektuursest paradoksist. Just see mehhanism, mis on loodud Linuxi tuuma kiireks ja mäluefektiivseks muutmiseks, on mehhanism, mis võimaldas tavakasutajal kirjutada üle juurkasutajale (root) kuuluvaid faile. See on kolmas suur variatsioon sellest konkreetsest mälukorruptsiooni loogikast, mida oleme viimase kolme kuu jooksul näinud. See meenutab mulle laeva, mille korpus on väljastpoolt purunematu, kuid mis lahustub kokkupuutel omaenda sisemise kütusega.

rxgk lehemälu haavatavuse mehaanika

Defekt asub funktsioonis rxgk_decrypt_skb. See kood tegeleb sissetulevate soklipuhvrite dekrüpteerimisega võrgupinu vastuvõtmise poolel. Kui tuum neid puhvreid töötleb, käitleb see mälulehti, mida mõnikord jagatakse teiste protsesside lehemäluga (page cache). Tavatingimustes käivitab Linuxi tuum copy-on-write operatsiooni enne mis tahes kirjutamist jagatud lehele. See hoiab ära andmete lekkimise ühest protsessist teise mälualasse.

Zellicu teadlased avastasid, et rxgk_decrypt_skb funktsioonil puudus see COW-kaitse. Kui tuum dekrüpteerib andmed puhvrisse, mis juhtub olema jagatud leht, kirjutab see dekrüpteeritud sisu otse füüsilisse mällu, ilma et teeks esmalt privaatset koopiat. See möödub standardsetest failisüsteemi õigustest ja mälukaitsest. Ründaja saab kaardistada tundliku faili nagu /etc/shadow või SUID-binäärfaili oma mälualasse ja seejärel kasutada haavatavat võrguteed, et sundida tuuma kirjutama andmeid selle faili lehemällu. Kui tuum tühjendab lehemälu kettale, muutub muudatus püsivaks.

põlvnemise jälgimine copy failist dirtydecryptini

DirtyDecrypt ei ole isoleeritud juhtum. See on haavatavuste perekonna järeltulija, mis sai alguse Copy Failist (CVE-2026-31431) 2026. aasta aprillis. Theori teadlased tuvastasid esimesena, et tuuma krüptograafilisel sokliüliidesel olid sarnased loogikavead. Nädal hiljem ilmus Dirty Frag. Sellele järgnes Fragnesia, mis sihtis XFRM-alamsüsteemi. Kõigil neil haavatavustel on sama juurpõhjus: suutmatus kontrollida lehe omandivormi enne tuumataseme kirjutamisoperatsioonide sooritamist.

See avalikustamiste jada tõstab esile süsteemse probleemi selles, kuidas Linuxi tuum käsitleb kaasaegseid võrgumälu optimeerimisi. MSG_SPLICE_PAGES ja teiste suure jõudlusega null-kopeerimise (zero-copy) mehhanismide kasutuselevõtt on lisanud keerukust, mida praegune COW-infrastruktuur ei suuda piisavalt reguleerida. Teadlane nimega 0xdeadbeefnetwork märkis, et niipea kui ühe variandi parandus jõuab avalikku koodipuusse, on järgmise variandi relvastamine turvaspetsialistidele standardne harjutus. See kiire n-päeva arendustsükkel tuletab meelde, et parandus ühes alamsüsteemis ei taga teise sarnast loogikat kasutava süsteemi turvalisust.

miks teatud distributsioonid jäävad tulejoonele

CVE-2026-31635 mõju sõltub suuresti tuuma konfiguratsioonist. Haavatavus nõuab valiku CONFIG_RXGK sisselülitamist. Seetõttu on sellised distributsioonid nagu Fedora, Arch Linux ja openSUSE Tumbleweed suuremas ohus. Need distributsioonid eelistavad sageli tipptasemel funktsioone ja laiemat riistvaratuge, mis hõlmab spetsialiseeritud võrgu- ja krüptograafiamoodulite lubamist, mis on konservatiivsemates ettevõtte reliisides nagu RHEL või Debian Stable välja lülitatud.

Pilvekeskkondades kujutab see haavatavus olulist riski konteinerite isoleeritusele. Kui töösõlm (worker node) käitab haavatavat tuuma, saab kompromiteeritud konteiner kasutada DirtyDecrypti primitiivi oma kohalikust keskkonnast väljumiseks. Kirjutades üle jagatud binaarfailide või tuuma struktuuride lehemälu, saab ründaja liikuda piiratud podist täieliku juurkasutaja õigusteni host-masinas. See varistab sisuliselt mitme rentnikuga (multi-tenant) turvamudeli, millele Kubernetes ja teised orkestraatorid töökoormuse isoleerimisel tuginevad.

killswitchi debatt ja tuuma paikamise tulevik

Tuuma haavatavuste avalikustamise maht on sundinud ümber mõtlema, kuidas me Linuxi turvalisust haldame. Sasha Levin, tuntud tuuma haldaja, tegi hiljuti ettepaneku tuuma "killswitchi" ehk hädalüliti loomiseks. See tööriist võimaldab administraatoril keelata konkreetse tuumafunktsiooni tööajal ilma taaskäivituseta. Kui avastatakse nullpäeva haavatavus nagu DirtyDecrypt konkreetses võrgufunktsioonis, saab administraator käskida tuumal selle funktsiooni täitmine lõpetada ja tagastada selle asemel fikseeritud väärtus. See toimib laeva korpuse hädasulgeklapina, kuni valmistatakse ette püsiv parandus.

Mõned arendajad muretsevad killswitchi enda turvamõjude pärast. Kui ründaja saab piisavalt õigusi killswitchi aktiveerimiseks, saaks ta teoreetiliselt keelata turvamoodulid või auditeerimisfunktsioonid. Kuid Linuxi ökosüsteemi praegune reaalsus on see, et paikamine on kaasaegse ekspluadi arendamise kiiruse jaoks liiga aeglane. Killswitch pakub reaktiivset meedet organisatsioonidele, kes ei saa oodata uue tuumaversiooni täielikku regressioonitesti. See on pragmaatiline vastus asjaolule, et meie tarkvara on muutumas liiga keerukaks, et olla veavaba.

rocky linux ja liikumine kiirendatud turvapaikade suunas

Rocky Linux on võtnud teistsuguse lähenemisviisi, luues spetsiaalse turvahoidla. Traditsiooniliselt ootavad allavoolu (downstream) distributsioonid, kuni ülesvoolu pakkujad väljastavad kontrollitud paiga, enne kui nad saadavad uuendused oma kasutajatele. See tekitab haavatavuse akna, kus PoC on avalik, kuid ametlik uuendus on kinni kvaliteedikontrolli tsüklis. Uus Rocky Linuxi turvahoidla on vabatahtlik funktsioon, mis tarnib kiireloomulised parandused niipea, kui need on saadaval, isegi kui need pole veel jõudnud peamisse tuuma koodipuusse.

See samm on vastuoluline, kuna see rikub ranget ülesvoolu ühilduvust. Kui Rocky Linuxi meeskond parandab vea ja ülesvoolu haldajad valivad hiljem teistsuguse paranduse, siis need kaks tuuma lahknevad. Haldajad tunnistavad seda riski, kuid usuvad, et nende kasutajate kaitse on olulisem kui täiuslik versioonide ühtivus. See peegeldab laiemat nihket tööstuses agiilsuse prioritiseerimise suunas aktiivse ründamise valguses. Administraatorite jaoks tähendab see valikut traditsioonilise väljalasketsükli stabiilsuse ja agressiivsema paikamisstrateegia vastupidavuse vahel.

riski maandamine konteinerites ja riistvaralistes keskkondades

CVE-2026-31635 vastu kaitsmine nõuab enamat kui lihtsalt tavalist uuendust. Organisatsioonid peavad esmalt kontrollima, kas nende süsteemid on üldse haavatavad. Tuuma konfiguratsiooni kontrollimine CONFIG_RXGK osas on esimene samm. Kui moodul on lubatud, kuid teie töökoormuse jaoks pole seda vaja, on selle keelamine tuumamoodulite musta nimekirja (denylist) kaudu kõige tõhusam vahetu leevendus. See eemaldab ründepinna täielikult, vajamata mõnel juhul isegi taaskäivitust.

Riski seisukohast peaksite eeldama, et kohalikel kasutajatel on võimekus seda PoC-d käivitada, kui neil on juurdepääs käsureale. See muudab /etc/ kataloogi ja SUID-binaarfailide range jälgimise hädavajalikuks. Kaasaegsed turvatööriistad, mis jälgivad lehemälu terviklikkust, saavad teid hoiatada, kui protsess püüab muuta kirjutuskaitstud faile ebatavaliste mäluteede kaudu. Paikamine jääb kuldstandardiks, kuid kuni teie süsteemid on uuendatud, võivad piiravad Seccomp-profiilid ja AppArmori poliitikad piirata kohalike protsesside võimekust suhelda haavatavate võrgufunktsioonidega.

Auditeerige oma tuuma konfiguratsiooni ja kontrollige, kas teie distributsioon on väljastanud paranduse CVE-2026-31635 jaoks. Organisatsioonid, mis käitavad Archi või Fedorat, peaksid need uuendused viivitamatult prioritiseerima. Kui haldate suurt Linuxi serverite parki, kaaluge laia funktsioonikomplektiga tuumade kasutamise pikaajalisi mõjusid ja hinnake, kas tugevdatud, minimaalne tuuma konfiguratsioon on teie turvaseisundi jaoks asjakohasem.

Allikad

• NIST National Vulnerability Database (NVD) CVE-2026-31635 Record
• Linux Kernel Mailing List (LKML) Killswitch Proposal by Sasha Levin
• Zellic and V12 Security Technical Report on DirtyDecrypt
• Rocky Linux Security Repository Documentation
• MITRE ATT&CK Framework: Exploitation for Privilege Escalation (T1068)

Hoiatus: See artikkel on koostatud ainult informatiivsel ja hariduslikul eesmärgil. See ei asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust. Esitatud tehnilised üksikasjad on mõeldud selleks, et aidata administraatoritel mõista riske ja rakendada vajalikke kaitsemeetmeid.