Две глобальные уязвимости апреля 2026: "Copy Fail" в ядре Linux и обход аутентификации в cPanel/WHM

В конце апреля 2026 года одновременно всплыли две критические уязвимости, которые затронули миллионы серверов по всему миру. Одна — в самом ядре Linux, другая — в популярной панели управления хостингом cPanel. Обе позволяют получить root-доступ, причём первая работает локально, а вторая — удалённо. Разбираем, что произошло, кто в зоне риска и как защититься прямо сейчас.

1. CVE-2026-31431 — «Copy Fail»: 732 байта до root в Linux

Что это такое?
Логическая ошибка в подсистеме криптографии ядра Linux (crypto/algif_aead + шаблон authencesn). Уязвимость появилась в 2017 году из-за оптимизации «in-place» обработки данных. Она позволяет непривилегированному локальному пользователю записать 4 контролируемых байта в page cache любого читаемого файла на диске.

Почему это опасно?

• Работает на всех основных дистрибутивах (Ubuntu, Debian, RHEL, Amazon Linux, SUSE, Arch и т.д.) с ядрами начиная с 2017 года.
• Не требует race condition, специфических offsets или recompilation — один и тот же PoC работает везде.
• Эксплойт — всего 732 байта чистого Python (стандартная библиотека, без зависимостей).
• Позволяет перезаписать в памяти setuid-root бинарник (например /usr/bin/su, sudo, passwd) и получить root-шелл.
• Работает даже из Docker-контейнера — page cache общий для хоста.

Кто под угрозой?
Многопользовательские серверы, Kubernetes, GitHub Actions / GitLab CI, любые shared-хостинги и jump-host’ы. На личных ноутбуках риск ниже, но всё равно присутствует.

Как исправить?

Вариант А — лучший (патч):
Обновите ядро до версии, содержащей коммит a664bf3d603d (реверт опасной оптимизации 2017 года).
Большинство дистрибутивов уже выкатили обновления.

Вариант Б — временная защита (работает мгновенно):

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true

Проверьте:

lsmod | grep algif

Если пусто — защита активна. Это не ломает dm-crypt, LUKS, SSH, IPsec и обычные крипто-библиотеки.

Для контейнеров дополнительно заблокируйте создание AF_ALG-сокетов через seccomp.

Статус на Debian Bookworm (на 30 апреля 2026):
Ядра 6.1.164-1 и ниже уязвимы. Патч ещё не в stable, следите здесь:
https://security-tracker.debian.org/tracker/CVE-2026-31431

2. CVE-2026-41940 — Критический обход аутентификации в cPanel & WHM (CVSS 9.8)

Что это такое?
Уязвимость в механизме загрузки и сохранения сессий (whostmgrsession cookie). Позволяет любому удалённому атакующему войти в WHM/cPanel под любым пользователем (включая root) без пароля.

Почему это опасно?

• Затрагивает все поддерживаемые версии cPanel/WHM после 11.40.
• Уже активно эксплуатируется в wild.
• Даёт полный контроль над сервером: создание аккаунтов, чтение/изменение всех сайтов, выполнение команд от root.
• Работает даже если панель закрыта firewall’ом на стандартных портах (2082–2087) — есть обход через виртуальные хосты.

Кто под угрозой?
Любой сервер с установленным cPanel/WHM (миллионы shared-хостингов по всему миру).

Как исправить? (делайте прямо сейчас)

1. Если обновить нельзя мгновенно — жёсткая блокировка: Закройте порты cPanel/WHM в firewall и настройте RewriteRule/ProxyPass, чтобы запросы на /whm и /cpanel не проходили.
2. Проверьте, не взломали ли уже: Запустите официальный detection-скрипт из статьи cPanel (или проверьте логи на подозрительные сессии).

Проверьте текущую версию:

/usr/local/cpanel/cpanel -V

Обновление (единственный надёжный способ):

/scripts/upcp --force

После обновления перезапустите:

/scripts/restartsrv_cpsrvd

Что делать владельцам серверов прямо сейчас?

1. Если у вас Linux-сервер → примените workaround algif_aead (даже если обновили ядро).
2. Если у вас cPanel → немедленно /scripts/upcp --force.
3. Проверьте логи на признаки эксплуатации за последние дни.
4. В долгосрочной перспективе:
   • Минимизируйте количество пользователей с shell-доступом.
   • Используйте seccomp / AppArmor / SELinux в контейнерах.
   • Регулярно обновляйте ядро и панели управления.

Эти две уязвимости вместе – классический «kill chain»: удалённый bypass в панели + локальный root в ядре. Если у вас публичный сервер с cPanel и Docker/mailcow/nextcloud — обновляйтесь сегодня.