Ministerstwo Cyfryzacji rekomenduje aktualizację systemów operacyjnych Linux wydanych po 2017 roku

Pełnomocnik zarekomendował podmiotom krajowego systemu cyberbezpieczeństwa bezzwłoczną aktualizację systemów operacyjnych gnu/Linux wydanych po 2017 roku do najbardziej aktualnej wersji lub do wersji, dla której krytyczna podatność CVE-2026-31431 (Copy Fail) została usunięta.

Źródło: Ministerstwo Cyfryzacji.

W rekomendacji Pełnomocnik ujął również informację o podatności Dirty Frag (wykorzystującą podobny mechanizm co luka Copy Fail). Tymczasowe rozwiązanie, które należy zastosować, to wyłączenie modułów jądra systemu operacyjnego.

Obie podatności pozwalają na eskalację uprawnień od zwykłego użytkownika do konta administratora. Kod pozwalający na wykorzystanie podatności jest publicznie dostępny, a jego użycie nie wymaga zaawansowanych umiejętności technicznych. Oznacza to, że ryzyko praktycznego wykorzystania luki jest wysokie. Szczególnie zagrożone są środowiska, w których dostęp do systemu mają niezaufani użytkownicy lub uruchamiany jest kod pochodzący od użytkowników. Dotyczy to w szczególności:

• serwerów współdzielonych,
• środowisk multi-tenant,
• klastrów Kubernetes,
• środowisk kontenerowych,
• aplikacji CI runners,
• platform chmurowych,
• usług SaaS uruchamiających kod użytkownika.

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa przeprowadził konsultacje w powyższym zakresie z CSIRT NASK, CSIRT GOV oraz CSIRT MON, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do powyższej rekomendacji. Stosowanie oprogramowania z ww. podatnościami ma negatywny wpływ na bezpieczeństwo publiczne i istotny interes bezpieczeństwa państwa.

Źródło: Ministerstwo Cyfryzacji