लिनक्स के नवीनतम कर्नेल दोष का कोई फैंसी नाम नहीं है; इसे बस "ssh‑keysign‑pwn" कहा जाता है। यह कुछ ही हफ्तों में लिनक्स को प्रभावित करने वाला चौथा हाई-प्रोफाइल स्थानीय सुरक्षा छेद है। यह सामान्य उपयोगकर्ताओं को सिस्टम की कुछ सबसे संवेदनशील फ़ाइलों को चुपचाप पढ़ने में सक्षम बनाता है, जिसमें सिक्योर शेल (SSH) होस्ट प्राइवेट कीज़ और शैडो पासवर्ड फ़ाइल शामिल हैं।
इस भेद्यता को इसका "ssh‑keysign‑pwn" उपनाम मुख्य शोषण पथों में से एक से मिलता है: OpenSSH के ssh-keysign हेल्पर बाइनरी का दुरुपयोग करना। Keysign का उपयोग होस्ट-आधारित प्रमाणीकरण के लिए किया जाता है और यह आमतौर पर setuid रूट के रूप में चलता है, अपने काम को पूरा करने के लिए विशेषाधिकारों को छोड़ने से पहले सिस्टम की SSH होस्ट कीज़ खोलता है।
सुरक्षा कंपनी Qualys के शोधकर्ताओं ने CVE‑2026‑46333 का खुलासा किया, जो लिनक्स कर्नेल के ptrace एक्सेस चेक में एक सूचना-प्रकटीकरण भेद्यता है। Qualys का दावा है कि यह लगभग छह वर्षों से किसी न किसी रूप में मौजूद है।
दोष __ptrace_may_access() लॉजिक में है जो प्रक्रियाओं के बाहर निकलने पर चलता है। कुछ शर्तों के तहत, कर्नेल सामान्य "dumpable" जाँच को छोड़ देता है जब कोई प्रक्रिया अपनी मेमोरी मैपिंग छोड़ देती है। यह किसी अन्य प्रक्रिया के लिए अपने फ़ाइल डिस्क्रिप्टर चुराने के लिए एक संक्षिप्त खिड़की खोलता है।
जबकि ssh‑keysign‑pwn अपने आप में पूर्ण रूट शेल नहीं देता, होस्ट कीज़ और पासवर्ड हैश को बाहर निकालने की क्षमता पार्श्व आंदोलन और दीर्घकालिक स्थिरता के लिए एक शक्तिशाली बिल्डिंग ब्लॉक है। इसके अलावा, चुराई गई SSH होस्ट कीज़ के साथ, हमलावर होस्ट-आधारित विश्वास संबंधों में मशीनों का प्रतिरूपण कर सकते हैं। शैडो पासवर्ड निर्देशिका तक पहुंच के साथ, वे ऑफलाइन पासवर्ड क्रैकिंग का प्रयास कर सकते हैं और उन क्रेडेंशियल्स को सिस्टम में पुन: उपयोग कर सकते हैं।
अपने पैच में, लिनस टॉर्वाल्ड्स ने समझाया कि समस्या मौजूद है क्योंकि "हमारे पास एक अजीब विशेष मामला है: ptrace_may_access() 'dumpable' का उपयोग MM से पूरी तरह से स्वतंत्र रूप से विभिन्न अन्य चीजों की जांच करने के लिए करता है (आमतौर पर PTRACE_MODE_READ_FSCREDS जैसे फ्लैग का उपयोग करके)। उन थ्रेड्स के लिए भी जिनके पास अब VM नहीं है (और शायद कभी नहीं था, जैसे अधिकांश कर्नेल थ्रेड्स)। यह इस फ्लैग के लिए डिज़ाइन नहीं किया गया था, लेकिन यह जो है वह है।"
हमारे लिए इसका मतलब यह है कि इस लॉजिक त्रुटि को pidfd_getfd(2) सिस्टम कॉल के साथ जोड़कर, अनप्रिविलेज्ड उपयोगकर्ता उन प्रिविलेज्ड प्रक्रियाओं तक पहुंच सकते हैं जो शट डाउन होने के बीच में हैं, उनके अभी भी खुले फ़ाइल डिस्क्रिप्टर को पकड़ सकते हैं, और फिर उन फ़ाइलों से पढ़ सकते हैं जो सामान्य रूप से केवल रूट के लिए सुलभ होंगी।
अच्छी खबर यह है कि फिक्स आ गया है। लिनक्स स्थिर अनुरक्षक ग्रेग क्रो-हार्टमैन ने पहले ही कई समर्थित शाखाओं में अपडेट जारी कर दिए हैं, जिनमें 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207, और 5.10.256 जैसे नए रिलीज़ शामिल हैं, ये सभी ssh‑keysign‑pwn फिक्स लेकर चलते हैं। आप जल्द से जल्द इनमें से किसी एक कर्नेल पर जाना चाहेंगे। यह छेद 14 मई, 2026 से पहले जारी सभी लिनक्स कर्नेल को प्रभावित करता है।
जब तक पैच किए गए कर्नेल व्यापक रूप से उपलब्ध नहीं हो जाते, सुरक्षा टीमों के पास कुछ शमन विकल्प हैं, लेकिन प्रत्येक के साथ ट्रेड-ऑफ आते हैं। एक त्वरित और गंदा वर्कअराउंड लिनक्स के Yama ptrace प्रतिबंधों को कसना है, जो गैर-रूट उपयोगकर्ताओं के लिए ptrace को अक्षम करता है और शोषण को अवरुद्ध करता है, लेकिन कई डिबगिंग और मॉनिटरिंग वर्कफ़्लो को भी तोड़ता है। आप होस्ट-आधारित SSH प्रमाणीकरण और ssh-keysign हेल्पर को उन सिस्टम पर पूरी तरह से अक्षम करके एक्सपोज़र को कम कर सकते हैं जहां उनकी आवश्यकता नहीं है, हालांकि यह SSH को पूरी तरह से रोक देता है।
जैसा कि मांजारो लिनक्स टीम के एक थके हुए सदस्य ने कहा, "अपना पीसी न चलाएं यदि आपको इसकी आवश्यकता नहीं है। अपने आप को बंद कर लें और अपने कंधे के ऊपर से देखते रहें।" खैर, इससे निपटने का यह निश्चित रूप से एक तरीका है!