Januscape (CVE-2026-53359): 16-летняя уязвимость в KVM позволяет гостевой виртуальной машине захватить хост-сервер
4 июля 2026 года исследователь Хёнву Ким (@v4bel) опубликовал информацию об уязвимости CVE-2026-53359, получившей название Januscape. Она позволяет виртуальной машине вырваться за пределы изоляции и скомпрометировать физический сервер, на котором она запущена. Ошибка просидела в ядре Linux незамеченной около 16 лет. Это тот же исследователь, что в мае раскрыл Dirty Frag.
Что случилось
Современные серверы обычно делятся на множество виртуальных машин (VM) — каждый клиент работает в своей изолированной среде и не видит соседей. За эту изоляцию в Linux отвечает гипервизор KVM (Kernel-based Virtual Machine) — он встроен в ядро и используется на подавляющем большинстве облачных серверов, VPS-хостингов и дата-центров. Januscape (CVE-2026-53359) нарушает эту изоляцию.
Атакующий, имеющий доступ к одной виртуальной машине на сервере, может использовать уязвимость, чтобы вырваться за пределы своей среды и получить полный контроль над физическим сервером. Это означает доступ ко всем остальным виртуальным машинам и данным на этом сервере.
Уязвимость нашёл исследователь Хёнву Ким — тот самый, что в мае раскрыл Dirty Frag. Ошибка присутствует в ядре Linux с 2010 года. Исправление выпущено 4 июля 2026 года.
Насколько опасно
- Затронуты все серверы на Linux с KVM-виртуализацией — это подавляющее большинство облачных провайдеров, VPS-хостингов и дата-центров.
- Работает на серверах с процессорами Intel и AMD — то есть практически на любом современном x86-сервере.
- Уязвимость уже использовалась в рамках официальной программы Google по поиску таких багов — значит, её рабочесть подтверждена независимо.
- Публичный код для атаки уже доступен. Он вызывает падение сервера и всех виртуальных машин на нём. Полноценный эксплоит с получением root-доступа к хосту пока не опубликован, но исследователь сообщает о его существовании.
Как исправить
Обновить ядро Linux. Исправление включено в версии ядра 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 и 5.10.260. AlmaLinux уже выпустил патч в тестовом репозитории для версий 8, 9 и 10. Остальные дистрибутивы — в процессе.
Временная мера до выхода обновления — отключить вложенную виртуализацию на сервере. Именно она является обязательным условием для атаки. Команда для серверов на процессорах Intel:
echo "options kvm_intel nested=0" > /etc/modprobe.d/januscape.conf
rmmod kvm_intel && modprobe kvm_intelДля серверов на AMD:
echo "options kvm_amd nested=0" > /etc/modprobe.d/januscape.conf
rmmod kvm_amd && modprobe kvm_amdВажно: отключение вложенной виртуализации может нарушить работу клиентов, которые запускают Docker или Kubernetes внутри своих виртуальных машин. Если это критично — установка патча ядра приоритетнее временной меры.
← Ко всем новостям