Ni år gammel Linux-fejl kan give lokal angriber adgang til root-rettigheder
En alvorlig Linux-sårbarhed har ifølge sikkerhedsforskere ligget ubemærket i kernen siden november 2016. Fejlen er registreret som CVE-2026-46333 og har fået kodenavnet ssh-keysign-pwn. Den kan på berørte systemer give en lokal, uprivilegeret bruger adgang til følsomme filer og i visse tilfælde mulighed for at eksekvere kommandoer med root-rettigheder. Det skriver The Hacker News, Qualys, Ubuntu, Red Hat og NVD. Først var The Hacker News
Sårbarheden rammer ikke via internettet direkte, men gennem lokal adgang til maskinen. Det gør den særlig relevant for servermiljøer, hostingmiljøer, udviklingsmaskiner, multi-user systemer, kompromitterede brugerkonti og Linux-installationer, hvor tredjemand har eller kan opnå shell-adgang. Qualys beskriver problemet som en fejl i Linux-kernens adgangskontrol omkring __ptrace_may_access() og processers nedlukningsfase. Det skriver Qualsys.
Fejlen ligger i Linux-kernens ptrace-kontrol
CVE-2026-46333 er ifølge Qualys en lokal informationslækage og privilegieeskalering i Linux-kernens ptrace-relaterede adgangskontrol. Fejlen opstår i et snævert tidsvindue under en privilegeret proces’ afslutning, hvor kernen kan nå at frigive hukommelse, før alle åbne filer og forbindelser er lukket korrekt. Red Hat beskriver samme mekanisme som et “process exit race condition”, hvor en angriber i dette vindue kan kopiere åbne file descriptors fra en privilegeret proces.
Det praktiske problem er, at lokale brugere kan få adgang til oplysninger, de normalt aldrig må kunne læse. Det kan blandt andet omfatte /etc/shadow, private SSH-hostnøgler under /etc/ssh/*_key og andre administrative hemmeligheder, som en privilegeret proces midlertidigt har åbnet. The Hacker News omtaler fejlen med en CVSS-score på 5.5, mens NVD på tidspunktet for opslaget fortsat markerer posten som afventende berigelse.
Berørte distributioner og praktisk risiko
Ifølge The Hacker News og Qualys kan fejlen udnyttes på standardinstallationer af flere store Linux-distributioner, herunder Debian, Fedora og Ubuntu. TechRadar omtaler desuden Red Hat, SUSE, AlmaLinux og CloudLinux i sin opsummering af berørte miljøer. Ubuntu bekræfter, at sårbarheden blev offentliggjort den 15. maj 2026, at den blev rapporteret af Qualys, og at rettelser er tilgængelige gennem Linux-kernens opdateringsspor.
Qualys oplyser, at forskerne udviklede fire fungerende exploits mod henholdsvis chage, ssh-keysign, pkexec og accounts-daemon. Det er væsentligt, fordi sårbarheden dermed ikke alene er teoretisk. En lokal angriber kan i relevante miljøer bruge eksisterende privilegerede programmer som springbræt til at læse fortrolige filer eller opnå root-niveau. (Qualys)
| Forhold | Oplysning |
|---|---|
| CVE | CVE-2026-46333 |
| Kodenavn | ssh-keysign-pwn |
| Type | Lokal informationslækage og mulig privilegieeskalering |
| Berørt komponent | Linux-kernens ptrace-adgangskontrol |
| Introduceret | November 2016 ifølge Qualys og The Hacker News |
| Mulig effekt | Læsning af følsomme filer og i visse kæder root-kommandoer |
| Eksempler på mål | /etc/shadow, SSH-hostnøgler, set-uid-processer |
| Midlertidig afhjælpning | Sæt kernel.yama.ptrace_scope til 2, hvis patch ikke kan installeres straks |
| Primær anbefaling | Installer seneste kernel-opdatering fra distributionen |
Offentlig PoC skærper behovet for hurtig patching
Sagen er blevet mere akut, fordi en proof-of-concept exploit ifølge The Hacker News og Ubuntu blev offentliggjort kort efter, at en offentlig kernel-commit gjorde fejlen synlig. Qualys oplyser, at man oprindeligt tilbageholdt detaljerede exploits under den koordinerede offentliggørelse, mens distributionerne færdiggjorde deres pakker.
For systemadministratorer betyder det, at almindelig risikovurdering ikke bør stoppe ved CVSS-scoren. Fejlen kræver lokal adgang, men lokal adgang er i praksis ikke sjælden i moderne miljøer. Den kan opstå via kompromitterede webapplikationer, udviklerkonti, CI/CD-agenter, container-breakouts, hostingkunder, VPN-brugere eller interne brugerkonti med begrænsede rettigheder.
Anbefalede afværgetiltag
Qualys anbefaler, at Linux-distributionernes kernel-opdateringer installeres hurtigst muligt. Hvis opdatering ikke kan ske straks, anbefales det midlertidigt at hæve kernel.yama.ptrace_scope til 2. Ubuntu fremhæver ligeledes tilgængelige rettelser og mitigation for ssh-keysign-pwn.
For systemer, hvor der har været ubetroede lokale brugere i den periode, hvor systemet kan have været sårbart, anbefaler Qualys yderligere at behandle SSH-hostnøgler og lokalt cachede legitimationsoplysninger som potentielt kompromitterede. Det kan efter omstændighederne betyde rotation af SSH-hostnøgler, gennemgang af administrative nøgler, kontrol af systemlogs og vurdering af, om hemmeligheder i memory eller åbne file descriptors kan være blevet eksponeret.
Juridisk betydning for virksomheder
For virksomheder kan sårbarheden få betydning ud over den rent tekniske patch-håndtering. Hvis et berørt Linux-system behandler personoplysninger, kan en reel udnyttelse efter omstændighederne udløse vurdering efter databeskyttelsesforordningens artikel 32 om passende tekniske og organisatoriske sikkerhedsforanstaltninger samt artikel 33 om anmeldelse af brud på persondatasikkerheden. Den officielle GDPR-forordning er Europa-Parlamentets og Rådets forordning (EU) 2016/679.
Virksomheder omfattet af NIS2 bør tilsvarende vurdere hændelsen i lyset af direktivets krav til cybersikkerhedsforanstaltninger og rapporteringspligter. NIS2 er Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om et højt fælles cybersikkerhedsniveau i Unionen. (EUR-Lex)
For leverandører og producenter af digitale produkter kan Cyber Resilience Act også få praktisk betydning, navnlig hvor Linux indgår som en komponent i produkter med digitale elementer. Forordning (EU) 2024/2847 har til formål at styrke cybersikkerhedskravene til sådanne produkter og deres forsyningskæder. (EUR-Lex)
PinTheft viser bredere Linux-risiko
Artiklen omtaler også PinTheft, en anden lokal Linux-privilegieeskalering, hvor en offentlig PoC retter sig mod en RDS zerocopy double-free kombineret med io_uring fixed buffers. V12 Securitys PoC beskriver PinTheft som en Linux local privilege escalation exploit, hvor fejlen kan omdannes til en page-cache overwrite.
Openwall-gengivelsen af den tekniske beskrivelse fremhæver, at PoC’en bruger io_uring til at gøre referencefejlen praktisk udnyttelig, og at den kræver blandt andet RDS-kernelmodulet. Den oplyser også, at RDS-modulet blandt de testede almindelige distributioner kun var standard på Arch Linux.
Hvad bør driftsansvarlige gøre nu
| Prioritet | Handling | Formål |
|---|---|---|
| Høj | Installer seneste kernel-opdatering fra distributionen | Lukker den kendte sårbarhed |
| Høj | Sæt midlertidigt kernel.yama.ptrace_scope=2, hvis patch ikke kan ske straks | Begrænser kendte exploit-veje |
| Høj | Gennemgå systemer med lokale brugere eller shell-adgang | Identificerer reelt eksponerede miljøer |
| Høj | Roter SSH-hostnøgler, hvis systemet kan have haft ubetroede lokale brugere | Reducerer risiko ved mulig nøglelækage |
| Mellem | Undersøg brug af set-uid, set-gid og file-capability binaries | Finder mulige angrebsflader |
| Mellem | Kontroller logs for mistænkelig lokal aktivitet | Understøtter hændelsesvurdering |
| Mellem | Vurder GDPR, NIS2 og kontraktuelle anmeldelsespligter | Sikrer korrekt juridisk håndtering |
Sagen viser endnu en gang, at lokal adgang ikke bør undervurderes. En fejl, der “kun” kræver lokal brugeradgang, kan i moderne driftsmiljøer hurtigt blive alvorlig, hvis en angriber allerede har fået en lavprivilegeret konto, adgang gennem en sårbar applikation eller fodfæste i et delt servermiljø. Root-nøglerne ligger sjældent langt væk, når kernen selv kommer til at holde døren på klem.
Kilde: #TheHackerNews, #Qualys, #SUSE. #Ubuntu, #RedHat, #NVD, #ICARE
Fotokredit: Debian
Personer/Firmaer/Emner/#: #Linux, #CVE202646333, #sshkeysignpwn, #Qualys, #Ubuntu, #RedHat, #NVD, #NIS2, #GDPR, #CyberResilienceAct, #Cybersecurity, #Kernel, #RootAccess, #PinTheft
Copyrights: Ⓒ 2026 Copyright by ICARE.DK. Kan deles ved aktivt link til denne artikel.
