Volg ZDNET: Voeg ons toe als voorkeursbron op Google.
De belangrijkste conclusies van ZDNET
- Nog een dag, nog een Linux-bug.
- Er is nu een patch uit.
- Het is echter nog niet beschikbaar in de meeste distributies.
De nieuwste kernelfout van Linux heeft geen mooie naam; het heet gewoon “ssh-keysign-pwn.” Het is het vierde spraakmakende lokale beveiligingslek dat Linux binnen een paar weken treft. Hiermee kunnen gewone gebruikers stilletjes enkele van de meest gevoelige bestanden op een systeem lezen, inclusief Secure Shell (SSH) host-privésleutels en het schaduwwachtwoordbestand.
De kwetsbaarheid krijgt de bijnaam “ssh-keysign-pwn” van een van de belangrijkste manieren waarop misbruik kan worden gemaakt: misbruik van het binaire bestand ssh-keysign helper van OpenSSH. Keysign -keysign wordt gebruikt voor hostgebaseerde authenticatie en voert doorgaans setuid root uit, waarbij de SSH-hostsleutels van het systeem worden geopend voordat de bevoegdheden worden verwijderd om het werk te voltooien.
Ook: de derde grote Linux-kernelfout in twee weken is gevonden – dankzij AI
Precies wat we nodig hadden. Nog een vervelende en potentieel gevaarlijke Linux-bug.
De fout uitgelegd
Beveiligingsonderzoekers bij beveiligingsbedrijf Qualys hebben CVE-2026-46333 onthuld, een kwetsbaarheid voor het vrijgeven van informatie in de ptrace-toegangscontrole van de Linux-kernel. Qualys beweert dat het al ongeveer zes jaar in een of andere vorm bestaat.
De fout zit in de __ptrace_may_access()-logica die wordt uitgevoerd als processen worden afgesloten. Onder bepaalde omstandigheden slaat de kernel de normale “dumpbare” controles over zodra een proces zijn geheugentoewijzing heeft laten vallen. Dit opent een kort venster waarin een ander proces de bestandsdescriptors kan stelen.
Hoewel ssh-keysign-pwn op zichzelf geen volledige root-shell overdraagt, is de mogelijkheid om hostsleutels en wachtwoord-hashes te exfiltreren een krachtige bouwsteen voor laterale beweging en persistentie op de lange termijn. Bovendien kunnen aanvallers met gestolen SSH-hostsleutels machines nabootsen in hostgebaseerde vertrouwensrelaties. Met toegang tot de schaduwwachtwoordmap kunnen ze proberen offline wachtwoorden te kraken en deze inloggegevens op verschillende systemen te hergebruiken.
Ook: Linux krijgt een wake-up call op het gebied van beveiliging – waarom dit onvermijdelijk was, en ik maak me geen zorgen
Precies wat we altijd nodig hadden. Een hardnekkige hack die sleutels en wachtwoorden kan blijven stelen.
In zijn patch legde Linus Torvalds uit dat het probleem bestaat omdat “We een vreemd speciaal geval hebben: ptrace_may_access() gebruikt ‘dumpable’ om verschillende andere dingen volledig onafhankelijk van de MM te controleren (meestal expliciet met behulp van vlaggen zoals PTRACE_MODE_READ_FSCREDS). Inclusief voor threads die niet langer een VM hebben (en misschien nooit hebben gehad, zoals de meeste kernelthreads). Het is niet waar deze vlag voor is ontworpen, maar het is wat het is.”
Wat dat voor jou en mij betekent, is dat door deze logische fout te combineren met de systeemaanroep pidfd_getfd(2), niet-bevoorrechte gebruikers geprivilegieerde processen kunnen bereiken die bezig zijn met afsluiten, hun nog openstaande bestandsdescriptors kunnen pakken en vervolgens kunnen lezen van bestanden die normaal gesproken alleen toegankelijk zouden zijn voor root.
Dat zou geen probleem zijn, ware het niet dat Qualys via een proof-of-concept (PoC)-exploit heeft aangetoond dat de bug in de praktijk betrouwbaar kan worden geactiveerd, en niet alleen in theorie. Het goede nieuws is dat de oplossing er is. Linux-stabiele onderhouder Greg Kroah-Hartman heeft al updates uitgerold over meerdere ondersteunde branches, waaronder nieuwe releases zoals 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 en 5.10.256, die allemaal de ssh-keysign-pwn-fix dragen.
Wat je moet doen
Je zult zo snel mogelijk naar een van deze kernels willen overstappen. Dit gat treft alle Linux-kernels die vóór 14 mei 2026 zijn uitgebracht. Anders, zoals een vermoeid lid van het Manjaro Linux-team het verwoordde: “Laat je pc niet draaien als je hem niet nodig hebt. Sluit jezelf op en kijk over je schouder.” Nou, dat is zeker een manier om ermee om te gaan!
Ook: hoe je Claude Code gratis kunt leren met de AI-cursussen van Anthropic
Totdat gepatchte kernels algemeen beschikbaar zijn, hebben beveiligingsteams wel enkele opties om de gevolgen te beperken, maar elke optie brengt nadelen met zich mee.
Een snelle en vuile oplossing is om de Yama ptrace-beperkingen van Linux aan te scherpen door deze in te stellen met het commando:
sysctl kernel.yama.ptrace_scope=2.
Dit schakelt ptrace uit voor niet-rootgebruikers en blokkeert de exploit, maar het verbreekt ook veel debug- en monitoringworkflows. Dit is niet ideaal voor workflows voor ontwikkelaars.
U kunt de blootstelling ook verminderen door hostgebaseerde SSH-authenticatie en de ssh-keysign-helper volledig uit te schakelen op systemen waar deze niet nodig zijn. Hiermee wordt een primaire mogelijkheid voor het stelen van hostsleutels verwijderd. Dit houdt echter ook SSH tegen, wat voor veel Linux-systemen een non-starter is.
Mij? Ik ga mijn systemen in de gaten houden en hoop dat de distributies die ik dagelijks gebruik (Linux Mint, Ubuntu, AlmaLinux, openSUSE en Rocky Linux) tegen het einde van het weekend gepatcht zijn.
