В «Росе» выпустили обновления ядра, закрывающие уязвимость Copy Fail (CVE-2026-31431) с оценкой 7,8 по CVSS. Разбираем, кого это реально касается и как безопасно спланировать обновление с перезагрузкой.
НТЦ ИТ «Роса» сообщила о выпуске обновлений, которые закрывают уязвимость Copy Fail (CVE-2026-31431) в ядре Linux. Проблема относится к классу LPE: при определённых условиях локальный пользователь может повысить привилегии вплоть до root.
Что именно обновили
Исправления подготовлены для веток и сборок «Росы», включая ROSA 13 и ROSA 2021.1 (ROSA 12). В сообщении указано, что доступны сборки исправленных ядер, среди которых встречаются версии 6.12, 6.6, 5.15 и 5.10.
Также отмечено, что обновления выпущены под несколько архитектур: x86_64 (Intel/AMD), aarch64 (в том числе Baikal-M и Baikal-L) и loongarch64 (Loongson, «Иртыш»).
Почему это важно не только безопасникам
Copy Fail — не история про «взлом из интернета в один клик». Для эксплуатации нужен локальный доступ или возможность выполнить код (например, через уже имеющуюся лазейку или небезопасный сценарий запуска). Но именно поэтому такие баги регулярно «выстреливают» в рабочих средах: они становятся последним шагом в цепочке атаки, когда злоумышленник уже оказался внутри.
В заметке подчёркивается, что CVE-2026-31431 имеет оценку 7,8 из 10 по CVSS 3.0. Это уровень, при котором откладывать обновление обычно неразумно — особенно там, где к системе имеет доступ много людей или запускается сторонний код.
Где риск выше всего
В первую очередь приоритет стоит отдать средам, где чаще всего «живёт» непредсказуемое выполнение:
- серверы разработки и общие стенды;
- CI/CD (агенты сборки, раннеры, тестовые окружения);
- узлы виртуализации и хосты, где крутятся разные команды/проекты;
- рабочие станции, на которых регулярно запускают утилиты, скрипты и сборки из внешних репозиториев.
Как обновиться без сюрпризов
По описанию процесса, исправленные пакеты собираются в ABF (системе сборки пакетов «Роса»), проходят проверку и затем попадают в репозитории. Дальше установка делается штатными средствами обновления ОС.
Практический момент, который часто забывают: обновление ядра почти всегда подразумевает перезагрузку. Поэтому разумный сценарий для администраторов выглядит так:
- проверить наличие обновлений ядра на нужных машинах;
- установить исправленные пакеты;
- запланировать перезагрузку на ближайшее окно обслуживания (а не «когда-нибудь потом»).
Итог простой: Copy Fail — это не повод для паники, но хороший пример уязвимости, которую стоит закрывать быстро, пока она не стала удобной ступенькой в атаке на инфраструктуру.
