- Vulnerabilidade ssh-keysign-pwn (CVE‑2026‑46333) no kernel Linux permite que usuários sem privilégios leiam chaves SSH de host e o arquivo shadow durante a saída de processos, por meio da lógica de ptrace_may_access.
- O caminho de exploração envolve o helper ssh-keysign do OpenSSH, que normalmente roda como root e abre as chaves de host antes de zerar privilégios.
- PoC demonstram exploração confiável; a correção já foi promovida em várias linhas estáveis, com lançamentos como 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 e 5.10.256.
- Mitigações temporárias incluem ajustar sysctl kernel.yama.ptrace_scope para 2 (desabilita ptrace para não root, mas pode afetar depuração e monitoramento) e/ou desativar autenticação SSH baseada em host e o ssh-keysign onde não for necessário.
- A falha afeta núcleos lançados antes de 14 de maio de 2026; usuários devem atualizar as distribuições (ex.: Linux Mint, Ubuntu, AlmaLinux, openSUSE, Rocky Linux) assim que as novas versões estiverem disponíveis.
O quarto flaw de kernel Linux do mês, chamado ssh-keysign-pwn, permite que usuários comuns leiam arquivos sensíveis do sistema, incluindo as chaves privadas de host SSH e o arquivo de senhas shadow. O CVE-2026-46333 foi divulgado pela Qualys, afetando o kernel por meio de uma falha de verificação de ptrace durante a saída de processos. A exploração pode ocorrer sem obter shell root.
A vulnerabilidade reside na lógica __ptrace_may_access() que, ao encerrar processos, pode pular checagens de dumpability após a remoção do mapeamento de memória. Assim, outros processos podem capturar descritores de arquivos abertos, abrindo caminho para furtar chaves de host e hashes de senhas. Embora não forneça acesso root imediato, é um componente que facilita movimento lateral e persistência.
Por meio de um PoC, a Qualys demonstrou que o bug pode ser explorado de forma confiável na prática. Linus Torvalds explicou que o problema ocorre por um uso inadequado do dumpable em ptrace_may_access(), especialmente para threads sem VM. A combinação com pidfd_getfd(2) amplia o alcance para leitura de arquivos privilegiados.
O que já está feito
O mantenedor do Linux stable, Greg Kroah-Hartman, lançou patches e atualizações em várias branches, incluindo 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 e 5.10.256, com a correção do ssh-keysign-pwn. A versão alvo depende da distribuição, mas as correções já estão disponíveis em lançamentos estáveis recentes.
Medidas de mitigação
Para mitigar temporariamente, é possível reforçar as regras do Yama ptrace com sysctl kernel.yama.ptrace_scope=2, bloqueando o ptrace para usuários não-root. Essa opção atrapalha depuração e monitoramento, não sendo ideal para fluxos de desenvolvimento.
Outra opção é desativar a autenticação baseada em host SSH e o helper ssh-keysign em sistemas onde não são necessários. Assim, reduz-se a exposição de chaves de host, embora isso possa interromper o funcionamento do SSH em algumas situações.
A recomendação é acompanhar as distribuições usadas — como Linux Mint, Ubuntu, AlmaLinux, openSUSE e Rocky Linux — e aplicar as atualizações assim que disponíveis. Enquanto isso, equipes de segurança devem avaliar impactos e fluxos de CI/CD para evitar interrupções.
Entre na conversa da comunidade