Januscape (CVE-2026-53359): 16-летняя уязвимость в KVM позволяет гостевой виртуальной машине захватить хост-сервер

4 июля 2026 года исследователь Хёнву Ким (@v4bel) опубликовал информацию об уязвимости CVE-2026-53359, получившей название Januscape. Она позволяет виртуальной машине вырваться за пределы изоляции и скомпрометировать физический сервер, на котором она запущена. Ошибка просидела в ядре Linux незамеченной около 16 лет. Это тот же исследователь, что в мае раскрыл Dirty Frag.

Что случилось

Современные серверы обычно делятся на множество виртуальных машин (VM) — каждый клиент работает в своей изолированной среде и не видит соседей. За эту изоляцию в Linux отвечает гипервизор KVM (Kernel-based Virtual Machine) — он встроен в ядро и используется на подавляющем большинстве облачных серверов, VPS-хостингов и дата-центров. Januscape (CVE-2026-53359) нарушает эту изоляцию.

Атакующий, имеющий доступ к одной виртуальной машине на сервере, может использовать уязвимость, чтобы вырваться за пределы своей среды и получить полный контроль над физическим сервером. Это означает доступ ко всем остальным виртуальным машинам и данным на этом сервере.

Уязвимость нашёл исследователь Хёнву Ким — тот самый, что в мае раскрыл Dirty Frag. Ошибка присутствует в ядре Linux с 2010 года. Исправление выпущено 4 июля 2026 года.

Насколько опасно

  • Затронуты все серверы на Linux с KVM-виртуализацией — это подавляющее большинство облачных провайдеров, VPS-хостингов и дата-центров.
  • Работает на серверах с процессорами Intel и AMD — то есть практически на любом современном x86-сервере.
  • Уязвимость уже использовалась в рамках официальной программы Google по поиску таких багов — значит, её рабочесть подтверждена независимо.
  • Публичный код для атаки уже доступен. Он вызывает падение сервера и всех виртуальных машин на нём. Полноценный эксплоит с получением root-доступа к хосту пока не опубликован, но исследователь сообщает о его существовании.

Как исправить

Обновить ядро Linux. Исправление включено в версии ядра 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 и 5.10.260. AlmaLinux уже выпустил патч в тестовом репозитории для версий 8, 9 и 10. Остальные дистрибутивы — в процессе.

Временная мера до выхода обновления — отключить вложенную виртуализацию на сервере. Именно она является обязательным условием для атаки. Команда для серверов на процессорах Intel:

echo "options kvm_intel nested=0" > /etc/modprobe.d/januscape.conf
rmmod kvm_intel && modprobe kvm_intel

Для серверов на AMD:

echo "options kvm_amd nested=0" > /etc/modprobe.d/januscape.conf
rmmod kvm_amd && modprobe kvm_amd

Важно: отключение вложенной виртуализации может нарушить работу клиентов, которые запускают Docker или Kubernetes внутри своих виртуальных машин. Если это критично — установка патча ядра приоритетнее временной меры.

← Ко всем новостям