Linux senaste kärnfel har inget tjusigt namn; det kallas bara "ssh‑keysign‑pwn." Det är det fjärde uppmärksammade lokala säkerhetshålet som drabbar Linux på bara några veckor. Det här gör att vanliga användare tyst kan läsa några av de mest känsliga filerna på ett system, inklusive Secure Shells (SSH) värdprivata nycklar och skugg-lösenordsfilen.

Sårbarheten har fått smeknamnet "ssh‑keysign‑pwn" från en av de huvudsakliga exploateringsvägarna: att missbruka OpenSSH:s ssh-keysign-hjälpbinär. Keysign används för värdbaserad autentisering och körs normalt setuid root, öppnar systemets SSH-värdnycklar innan det sänker privilegierna för att slutföra sitt arbete.

Säkerhetsforskare på företaget Qualys avslöjade CVE‑2026‑46333, en informationsläckagesårbarhet i Linux-kärnans ptrace-åtkomstkontroll. Qualys hävdar att den har funnits i en eller annan form i ungefär sex år.

Felet sitter i __ptrace_may_access()-logiken som körs när processer avslutas. Under vissa förhållanden hoppar kärnan över normala "dumpable"-kontroller när en process har släppt sin minnesmappning. Detta öppnar ett kort fönster för en annan process att stjäla dess filbeskrivningar.

Även om ssh‑keysign‑pwn inte ger ett fullt root-skal i sig, är förmågan att exfiltrera värdnycklar och lösenordshashar en kraftfull byggsten för lateral rörelse och långsiktig uthållighet. Dessutom kan angripare med stulna SSH-värdnycklar imitera maskiner i värdbaserade förtroenderelationer. Med tillgång till skugg-lösenordskatalogen kan de försöka offline-lösenordsknäckning och återanvända dessa referenser över system.

I sin patch förklarade Linus Torvalds att problemet finns för att "Vi har ett udda specialfall: ptrace_may_access() använder 'dumpable' för att kontrollera olika andra saker helt oberoende av MM (vanligtvis explicit med flaggor som PTRACE_MODE_READ_FSCREDS). Inklusive för trådar som inte längre har en VM (och kanske aldrig haft, som de flesta kärntrådar). Det är inte vad denna flagga designades för, men det är vad det är."

Vad det betyder för dig och mig är att genom att kombinera detta logikfel med systemanropet pidfd_getfd(2) kan oprivilegierade användare nå in i privilegierade processer som håller på att stängas ner, ta deras fortfarande öppna filbeskrivningar och sedan läsa från filer som normalt bara skulle vara tillgängliga för root.

Den goda nyheten är att fixen finns. Linux stabila underhållare Greg Kroah‑Hartman har redan rullat ut uppdateringar över flera supporterade grenar, inklusive nya utgåvor som 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 och 5.10.256, som alla bär ssh‑keysign‑pwn-fixen. Du vill uppgradera till en av dessa kärnor snarast. Detta hål påverkar alla Linux-kärnor som släppts före 14 maj 2026.

Tills patchade kärnor är allmänt tillgängliga har säkerhetsteamen några begränsningsalternativ, men varje kommer med avvägningar. En snabb och smutsig lösning är att skärpa Linux Yama ptrace-begränsningar, vilket inaktiverar ptrace för icke-root-användare och blockerar exploateringen, men bryter också många felsöknings- och övervakningsarbetsflöden. Du kan också minska exponeringen genom att inaktivera värdbaserad SSH-autentisering och ssh-keysign-hjälpen helt på system där de inte behövs, även om det stoppar SSH i dess spår.

Som en trött medlem av Manjaro Linux-teamet uttryckte det: "Kör inte din PC om du inte behöver den. Lås in dig själv och se dig över axeln." Tja, det är verkligen ett sätt att hantera det på!