У десктопних версіях Ubuntu 24.04 і новіших виявлено критичну уразливість CVE-2026-3888 з базовою оцінкою 7,8 за шкалою CVSS. Вона дозволяє локальному користувачу з мінімальними правами підвищити привілеї до рівня root на системах із налаштуваннями за замовчуванням. Проблема виникає на стику обробки тимчасових файлів і механізму ізоляції snap-пакетів.
Що таке CVE-2026-3888 і чому Ubuntu вразлива
Дослідники Qualys Threat Research Unit встановили, що дефолтна конфігурація Ubuntu призводить до небезпечної взаємодії двох стандартних компонентів: snap-confine (частина snapd, що створює «пісочницю» для snap-додатків) та systemd-tmpfiles (служба очищення тимчасових каталогів /tmp, /run, /var/tmp).
Завдання systemd-tmpfiles — автоматично видаляти застарілі файли в тимчасових директоріях, запобігаючи переповненню файлової системи. Однак саме ця поведінка, у поєднанні з тим, як snap-confine працює з каталогами в /tmp, створює умови для локального підвищення привілеїв.
Механізм атаки: каталог /tmp/.snap і bind-mount з правами root
Ключовим елементом експлуатації є директорія /tmp/.snap, яку snap-confine використовує для ініціалізації середовища виконання snap-додатків. За замовчуванням systemd-tmpfiles періодично видаляє цей каталог як «застарілий»: орієнтовно через 30 днів в Ubuntu 24.04 та приблизно через 10 днів у новіших збірках.
Атака базується на тому, що після чергового циклу очищення локальний непривілейований користувач може повторно створити шлях /tmp/.snap, але вже з власною структурою й вмістом. Коли наступного разу запускається будь-який snap-додаток, snap-confine виконує bind-mount цих файлів від імені root. Це відкриває можливість виконати довільний код у привілейованому контексті та повністю скомпрометувати систему.
За даними Qualys, хоча для експлуатації потрібне певне «часове вікно» (10–30 днів від моменту встановлення або попередньої очистки), наслідки успішної атаки — це повний контроль над системою при наявності лише базового локального доступу. Важливо, що участь користувача не потрібна: не вимагаються кліки, підтвердження або взаємодія з інтерфейсом.
Які версії Ubuntu постраждали та де вже є виправлення
Уразливість CVE-2026-3888 підтверджена в типових інсталяціях Ubuntu Desktop актуальних гілок. Для зниження ризику виробник уже випустив оновлені пакети snapd з інтегрованими виправленнями:
- Ubuntu 24.04 LTS — snapd 2.73+ubuntu24.04.1 і новіші;
- Ubuntu 25.10 — snapd 2.73+ubuntu25.10.1 і новіші;
- Ubuntu 26.04 LTS (dev) — snapd 2.74.1+ubuntu26.04.1 і новіші;
- апстрим-проєкт snapd — починаючи з версії 2.75.
Рекомендований шлях захисту — негайно оновити пакети через стандартні засоби Ubuntu: утиліту apt, графічний інтерфейс «Програми та оновлення» або механізми автоматичних оновлень. У контексті кібербезпеки своєчасне встановлення патчів залишається одним із найефективніших методів зниження ризиків.
Додаткова загроза: race condition в uutils coreutils
Паралельно фахівці Qualys виявили ще одну проблему безпеки — уразливість типу race condition у пакеті uutils coreutils, що є реалізацією класичних GNU coreutils мовою Rust.
Суть помилки полягає в тому, що локальний користувач без привілеїв може підміняти записи каталогів символьними посиланнями під час виконання cron-завдань від імені root, які використовують утиліти з uutils coreutils. Це дозволяє видаляти довільні файли або створювати умови для подальшого підвищення привілеїв.
Щоб оперативно знизити ризики в Ubuntu 25.10, розробники повернули реалізацію команди rm за замовчуванням до версії з GNU coreutils замість uutils. Апстрим-репозиторій uutils coreutils уже отримав відповідні виправлення, тому користувачам варто уважно стежити за оновленнями своїх дистрибутивів.
Рекомендації з підвищення безпеки Ubuntu та Linux-середовищ
Інциденти з CVE-2026-3888 та помилкою в uutils coreutils демонструють, що навіть добре перевірені системні компоненти Linux — systemd, snapd, coreutils — можуть ставати джерелом критичних уразливостей через складну взаємодію між собою.
Щоб підвищити рівень кіберстійкості робочих станцій і серверів на базі Ubuntu та інших дистрибутивів Linux, доцільно:
- увімкнути автоматичні оновлення безпеки (наприклад, за допомогою
unattended-upgrades); - регулярно встановлювати патчі для snapd, systemd, coreutils та інших базових пакетів;
- мінімізувати кількість локальних користувачів з доступом до інтерактивних сесій;
- використовувати моніторинг уразливостей за базами CVE та офіційними розсилками безпеки дистрибутива;
- обмежити непотрібні cron-завдання від імені root та проводити їх регулярний аудит.
Системний підхід до управління оновленнями, уважне ставлення до публічних звітів про уразливості та регулярний перегляд конфігурацій безпеки дають змогу суттєво зменшити ймовірність успішної експлуатації таких помилок. Варто вже зараз перевірити версії snapd і coreutils у своїй Ubuntu, застосувати доступні оновлення та включити автоматичні механізми захисту, щоб зберегти контроль над інфраструктурою й не залишати зловмисникам простору для атаки.
