Проект Fedora опубликовал разъяснение о том, как мейнтейнеры дистрибутива обрабатывают три уязвимости ядра Linux, раскрытые с конца апреля по середину мая: Copy Fail (CVE-2026-31431), Dirty Frag (CVE-2026-43284 и CVE-2026-43500) и Fragnesia (CVE-2026-46300). Все три бреши давали локальному непривилегированному пользователю права root за счёт повреждения страничного кэша. В заметке разобраны источники оповещений о CVE, автоматизация подготовки пакетов через Anitya и Packit, механика отдельных патчей и доступные пользователю инструменты обновления.
Три родственные бреши в ядре Linux
Copy Fail (CVE-2026-31431, CVSS 7.8) обнародован : ошибка в модуле algif_aead крипто-API AF_ALG позволяет непривилегированному пользователю выполнять контролируемые 4-байтовые записи в страничный кэш и менять подгруженные в память копии файлов, не изменяя сам файл на диске. Брешь присутствует в ядре с 2017 года и затрагивает практически все основные дистрибутивы, выпущенные с тех пор.
Через неделю, , исследователь Hyunwoo Kim раскрыл связку Dirty Frag — две отдельные уязвимости в сетевой подсистеме: CVE-2026-43284 (CVSS 8.8) в модулях ESP/XFRM (esp4, esp6), реализующих IPsec, и CVE-2026-43500 в модуле rxrpc для протокола AFS. Цепочка из двух багов приводит к тому же результату — записи в страничный кэш и подмене системных бинарников в памяти.
опубликована Fragnesia (CVE-2026-46300) — третья брешь того же класса. Как отметил сам Hyunwoo Kim, новая уязвимость стала побочным эффектом патча для CVE-2026-43284: закрыв одну дыру, разработчики открыли другую. Публичный proof-of-concept перезаписывает /usr/bin/su через страничный кэш и выдаёт root-шелл.
Как мейнтейнеры узнают об уязвимостях
Источников оповещения у проекта несколько. Самый простой — бюллетени безопасности: многие upstream-проекты публикуют анонсы патчей в списке рассылки oss-security, который мониторят участники Fedora. Отдельный канал — команда Red Hat Product Security: для отслеживаемых CVE она заводит баги в Bugzilla, и дистрибутив подхватывает работу, уже сделанную для подписчиков RHEL.
Часть обновлений безопасности проходит через обычный пакетный цикл Fedora. За мониторинг новых релизов upstream-проектов отвечает Anitya, за автоматическую подготовку обновлений на их основе — Packit. Для срочных патчей это критично: к моменту, когда задачу подхватывает человек, в dist-git уже может быть открытый запрос на слияние и готовая scratch-сборка для тестирования.
Packit — служба интеграции upstream-проектов с инфраструктурой Fedora и Red Hat. Принимает обновления исходников, запускает scratch-сборки в Koji и открывает запросы на слияние в dist-git, сокращая ручную работу мейнтейнера.
Что делает мейнтейнер, когда патча в upstream ещё нет
Узнав об уязвимости в распространяемом пакете, мейнтейнер выбирает способ доставки исправления для поддерживаемых релизов Fedora. Чаще всего достаточно опубликовать свежую версию пакета. Но иногда такой путь невозможен.
Первый сценарий — патч ещё не принят в upstream-проект; именно так произошло с недавними уязвимостями ядра, когда дистрибутивы включали исправления раньше, чем те попадали в основную ветку. Второй сценарий — разрыв версий между актуальной upstream-веткой и пакетом в данном релизе Fedora слишком велик, чтобы обновлять пакет до новой версии целиком.
В обоих случаях исправление накладывается отдельным патчем поверх текущей версии. В результате пакет содержит исправление, а номер версии по-прежнему указывает на уязвимый релиз. Проверить, наложен ли патч, помогает команда:
dnf changelog
В выводе виден список изменений пакета и пометки о применённых патчах с номерами CVE.
Что сделать пользователю
Базовый совет проекта — регулярно обновлять систему. Обновления безопасности в Fedora помечаются уровнем критичности и номерами CVE; отслеживать их можно через Bodhi — систему управления обновлениями проекта. Все ожидающие исправления безопасности в системе применяет одна команда:
dnf update --security
В GNOME Software (в русской локализации — «Центр приложений») встроена периодическая проверка обновлений и всплывающее уведомление с предложением их установить — типовой путь оповещения для пользователей GNOME.
Для автоматизации существует утилита dnf-automatic: её можно настроить так, чтобы патчи безопасности скачивались и применялись по расписанию. У этого варианта есть ограничение — обновление ядра требует перезагрузки, поэтому без участия администратора новое ядро не загружается, даже если пакет уже установлен. Параметры расписания и режима работы задаются в /etc/dnf/automatic.conf; описание ключей доступно в документации Fedora.
Bodhi — веб-интерфейс и сервис управления обновлениями Fedora. Через Bodhi мейнтейнеры отправляют пакеты в репозиторий updates-testing, собирают отзывы тестировщиков, а после прохождения карантина переводят сборки в стабильный канал.
Заключение
В заметке проект формулирует два собственных тезиса. Первый: LLM-инструменты позволили исследователям анализировать крупные кодовые базы, в том числе ядро Linux, заметно быстрее, и одновременно сокращают разрыв между раскрытием уязвимости и появлением рабочего эксплойта. Второй: именно поэтому проекту нужна отработанная цепочка отслеживания и доставки патчей, и автоматизация — Anitya, Packit, Bodhi, scratch-сборки в Koji — задаёт её базовый каркас. Пользователю предложено три инструмента разной степени автоматизации: ручной запуск dnf update --security, мониторинг через Bodhi и фоновое расписание dnf-automatic.