Nieuw Linux-lek laat lokale aanvaller SSH-keys stelen en code als root uitvoeren

In dit artikel:

Securitybedrijf Qualys ontdekte een kritische Linux-kernel-kwetsbaarheid, gedoopt tot "ssh-keysign-pwn" (CVE-2026-46333), die lokale, niet‑geprivilegieerde gebruikers in staat stelt gevoelige bestanden te lezen en als root code uit te voeren. Het probleem is een race condition in kernel‑code rond suid/sgid‑executables: tijdens het sluiten van een privileged proces kunnen bestandsbeschrijvingen kort toegankelijk worden voor een aanvaller die het aangesproken proces inspecteert. Daardoor zijn onder meer /etc/shadow (gehashte wachtwoorden) en OpenSSH host private keys kwetsbaar, en kunnen via gekaapte dbus‑verbindingen systemd‑commando’s worden uitgevoerd.

Qualys meldde de fout via responsible disclosure; het Linux kernel security team patchte de bug op 14 mei. Na publicatie van de kernel‑commit verscheen er snel een werkende exploit online, zodat het embargo praktisch niet meer beschermde. Canonical beschrijft het als een race condition; Qualys waarschuwt dat hoewel de fout alleen lokaal misbruikbaar is, de impact groot is — op gedeelde multi‑tenant hosts kan dit direct tot root‑toegang leiden. De kwetsbaarheid zat sinds november 2016 in de kernel.

Beheerders wordt met klem aangeraden zo snel mogelijk patches en beschikbare mitigaties van hun distributie te installeren. Daarnaast is het verstandig om systemen te controleren op aanwijzingen van misbruik, SSH‑hostkeys te rouleren als compromise mogelijk is, en de toegang voor onbetrouwbare lokale gebruikers te beperken totdat updates zijn toegepast.