Katalog CVE

CVE-2026-46057

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

W jądrze systemu Linux naprawiono podatność związaną z dziedziczeniem LOG_SUBDOMAINS_OFF podczas operacji fork(). Problem polegał na tym, że blob bezpieczeństwa Landlock nie był kopiowany, gdy źródłowe poświadczenie nie miało przypisanego domeny, co prowadziło do nieoczekiwanych wyników audytu w procesach potomnych.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane ujawnienie informacji w logach audytowych, co może prowadzić do problemów z zgodnością i bezpieczeństwem danych. Procesy potomne mogą nie przestrzegać oczekiwanych zasad bezpieczeństwa, co zwiększa ryzyko ataków.

Rekomendacja

Zaleca się aktualizację jądra systemu Linux do najnowszej wersji, aby usunąć tę podatność. Należy również przeanalizować i dostosować konfiguracje bezpieczeństwa związane z używaniem Landlock.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: landlock: Fix LOG_SUBDOMAINS_OFF inheritance across fork() hook_cred_transfer() only copies the Landlock security blob when the source credential has a domain. This is inconsistent with landlock_restrict_self() which can set LOG_SUBDOMAINS_OFF on a credential without creating a domain (via the ruleset_fd=-1 path): the field is committed but not preserved across fork() because the child's prepare_creds() calls hook_cred_transfer() which skips the copy when domain is NULL. This breaks the documented use case where a process mutes subdomain logs before forking sandboxed children: the children lose the muting and their domains produce unexpected audit records. Fix this by unconditionally copying the Landlock credential blob.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS