Natten mot fredag publicerade 0xdeadbeefnetwork en proof-of-concept för CVE-2026-46333 – en race condition i Linux-kerneln som låter en oprivilegierad användare läsa root-ägda filer som SSH host keys och shadow-filen via SUID-binärer som ssh-keysign och chage.
Det egentligen intressanta är inte den enskilda buggen, utan kanske snarare att det här är den fjärde allvarliga sårbarheten i Linux-kerneln på mindre än tre veckor:
- Copy Fail (CVE-2026-31431) 29 april
- Dirty Frag (CVE-2026-43284, CVE-2026-43500) 7 maj
- Fragnesia (CVE-2026-46300) 13 maj
- ssh-keysign-pwn (CVE-2026-46333) 15 maj
Landskapet har förändrats
Det som framförallt har förändrats är att den här takten som sårbarheterna skapas och upptäcks i är ny.
Det vi ser är till stor del ett resultat av att AI-assisterad kodscanning kommit på plats hos säkerhetsforskare på allvar under den senaste tiden. Komplex kod med subtila race conditions – den klassen av buggar som tidigare krävde månader av manuell källkodsläsning för att hitta – kan idag scannas genom betydligt mer systematiskt än tidigare.
Linux-kerneln är ett naturligt mål: stor kodbas, lång historik, hög utdelning per bugg; fler ögon och snabbare verktyg ger fler fynd. Vi tror inte det här är en topp som planar ut, utan att det snarare är det nya normala.
Vad det betyder för dig som kund – så hanterade vi sårbarheten
Tidigt på fredagen, strax efter publiceringen, hade vi gått igenom PoC:en och verifierat mot vår plattform.
Bedömningen var att våra delade webbhotellsservrar kör CloudLinux med CageFS, och de SUID-binärer PoC:en behöver (ssh-keysign, chage) finns helt enkelt inte i ”cagen” för en vanlig användare.
Det betyder att i praktiken var sårbarheten inte möjlig att utnyttjas hos oss. Med det sagt följde vi ändå upp med lämpliga mitigeringar på berörda system – CageFS är ett lager, inte hela försvaret.
För dig som har egen server
Den underliggande kerneln är generellt sårbar oavsett distribution – Debian, Ubuntu, AlmaLinux, CloudLinux m.fl.. Vi rekommenderar:
- Uppdatera kernel och starta om snarast. Patchade kärnor finns ute för de stora distributionerna. Se respektive distros säkerhetsadvisory.
- Mitigera tills du hinner starta om, kolla vad som gäller för din distribution. På CloudLinux kan du köra
sysctl -w kernel.user_ptrace=0som stänger ptrace för oprivilegierade användare host-wide. På andra distributioner finns motsvarande mekanismer (t.ex.kernel.yama.ptrace_scope). Verifiera mot din distributions dokumentation att den faktiskt täcker den här attackvägen innan du litar på den.
Har du server i Oderland Cloud och vill att vi sköter det här åt dig – vi erbjuder systemförvaltning. Hör av dig till supporten så hjälper vi till med uppdatering och verifiering.
Därför valde vi att inte informera direkt
Vi följer den här typen av disclosures dygnet runt, både manuellt och delvis automatiserat.
Vid varje sårbarhet av den här typen gör vi en bedömning av om den motiverar en bloggpost eller inte. Den här gången skrev vi ingenting i fredags eftersom CageFS täckte våra kunder och vi inte bedömde att kundkommunikation behövdes.
Vi vill vara tydliga med att säga att när vi inte postar något betyder det inte att vi inte har agerat eller missat sårbarheten. Vi noterar och hanterar allvarliga CVE:er som rör vår plattform löpande: Vi skriver bloggposter när det finns något kunderna behöver göra, veta eller förhålla sig till. I det här fallet publicerar vi nu eftersom sårbarheten har fått stor uppmärksamhet i media.
Det här blogginlägget fungerar dels som en uppföljning för transparens, dels som en heads-up till våra kunder med egna miljöer.