Qualys Threat Research Unit обнаружила ошибку повышения привилегий в snapd на Ubuntu Desktop 24.04 и новее. CVE-2026-3888 (CVSS 7.8) позволяет обычному пользователю получить права root (суперпользователь) через взаимодействие между snap-confine и systemd-tmpfiles. Canonical выпустила исправленные версии snapd 17 марта 2026 года.
Ни один из двух компонентов не содержит ошибки по отдельности. snap-confine (двоичный файл с правами root, строящий песочницы для snap-приложений) и systemd-tmpfiles (служба очистки устаревших временных файлов) работают штатно. Уязвимость возникает из их совместной работы.
Атака разворачивается в три шага. Сначала злоумышленник ждёт, пока systemd-tmpfiles удалит каталог /tmp/.snap. Интервал очистки составляет 30 дней на Ubuntu 24.04 LTS и 10 дней на более поздних версиях. После удаления злоумышленник воссоздаёт каталог и заполняет его вредоносными файлами. При следующем запуске snap-приложения snap-confine, работающий от имени root, подключает каталог с подменёнными файлами и выполняет произвольный код в привилегированном окружении.
snap-confine запускается каждый раз, когда пользователь открывает snap-приложение. Firefox, Chromium, Thunderbird, VS Code и другие программы поставляются как snap-пакеты в стандартной конфигурации Ubuntu Desktop. Двоичный файл snap-confine отвечает за изоляцию пространств имён, правила AppArmor, фильтры seccomp и ограничения cgroup. Ошибка в этом компоненте нарушает весь механизм изоляции приложений от основной системы.
Вектор CVSS (AV:L/AC:H/PR:L/UI:N/S:C) содержит пометку «изменённая область действия» (Changed Scope). Злоумышленник выходит за пределы изоляции snap и получает полный доступ к основной операционной системе.
snap-confine ранее становился объектом исследований повышения привилегий. CVE-2021-44731 (Qualys, февраль 2022, «Oh Snap! More Lemmings») использовала состояние гонки в пространствах имён монтирования. CVE-2022-3328 (Qualys, ноябрь 2022) в связке с двумя ошибками Multipathd (CVE-2022-41974 и CVE-2022-41973) давала полную цепочку до root.
CVE-2026-3888 отличается от предшественников. Это не состояние гонки и не повреждение памяти, а ошибка на основе таймера между двумя корректно работающими компонентами. Такой тип ошибок сложнее обнаружить при обычном аудите кода или автоматическом тестировании.
Читайте также: Атака на Stryker: хакеры стёрли 95% устройств через Microsoft Intune без вредоносного ПО
12 марта Qualys TRU раскрыла ошибки CrackArmor в AppArmor, ещё одном базовом механизме безопасности Ubuntu.
При подготовке Ubuntu 25.10 Qualys TRU нашла отдельную ошибку в uutils coreutils. Это переписанные на Rust аналоги стандартных GNU-программ. Состояние гонки в rm позволяло непривилегированному пользователю подменить элементы каталога символическими ссылками во время очистки по расписанию (конкретно /etc/cron.daily/apport). Canonical вернула стандартную программу rm из GNU coreutils до выпуска Ubuntu 25.10. Исправления внесены в основной код uutils.
Canonical выпустила исправленные пакеты snapd для всех затронутых выпусков Ubuntu. Ubuntu 24.04 LTS получил snapd 2.73+ubuntu24.04.2, Ubuntu 25.10 получил snapd 2.73+ubuntu25.10.1, Ubuntu 26.04 LTS (в разработке) получил snapd 2.74.1+ubuntu26.04.1. Основная ветка snapd исправлена в версии 2.75. Старые выпуски (Ubuntu 16.04–22.04 LTS) по умолчанию не затронуты, но Qualys рекомендует установить обновление при нестандартной конфигурации.
Администраторам Ubuntu Desktop 24.04 и новее нужно выполнить sudo snap refresh snapd или обновить пакет через apt. Окно уязвимости в 10–30 дней не снижает опасность на рабочих станциях разработчиков, общих серверах и любых машинах, которые работают неделями без перезагрузки. Qualys выпустила QID 386810 для обнаружения уязвимых систем.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
