C2026D11: Fragnesia en ssh-keysign-pwn root exploit acties
(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)
Op 15 mei 2026 zijn er 2 nieuwe kwetsbaarheden in de linux kernel openbaar gemaakt: Fragnesia en ssh-keysign-pwn.
Beiden zijn weer weer zogeheten “Local Privilege Escalations”, wat betekent dat iedereen die als gewone gebruiker toegang heeft tot een kwetsbaar systeem zich op dat systeem tot superuser kan verheffen. Ook hier zijn weer een groot deel van de linux systemen in de wereld hier kwetsbaar voor.
Bij Hosting & Streaming valt de schade mee. Eerder uitgevoerde mitigaties werken ook tegen Fragnesia, dus daar is geen enkele H&S omgeving kwetsbaar.
De situatie bij ssh-keysign-pwn is dat een ongheauthoriseerde
gebruiker hiermee alle bestanden op een lokaal systeem kan lezen.
Meest treffende voorbeeld is het bestand waarin de (encrypted) passwords
van lokale gebruikers staan. Met deze bug kan een aanvaller dit bestand
binnenhalen en offline proberen de passwords te cracken.
Voor containeromgevingen (CHP, Cerberus) is dit eigenlijk geen issue. In containers staan i.h.a. geen “geheime” bestanden. De reden daarvoor is eenvoudig: containers zijn vaak openbaar beschikbaar op containerhosting websites als docker.io, dus logisch dat daar geen geheimen in staan. Er kunnen natuurlijk door het platform wel secrets in een container gemapped worden (denk aan database passwords voor een applicatie oid), maar die waren toch al leesbaar voor die applicatie. Dus daar is geen privilege escalation voor nodig. M.a.w.: daar verandert dit probleem niets aan.
In de H&S non-container omgevingen is dit wel een risico. Gelukkig is er
voor dit probleem een mitigatie (disablen van ptrace). Deze
mitigatie is op vrijdag 15 mei voor alle H&S non-container omgevingen
uitgerold. Alle? Nee, want op de on-prem netboot omgeving was dit niet
nodig, omdat dit platform al meer dan 10 jaar met dergelijke hardening
parameters draait, waardoor ook nu netboot niet vulnerable was.
Dan blijven nog over de container hosts, dwz de host systemen waar de containers van containerplatformen als CHP en Cerberus op draaien. Deze hosts lopen geen direct risoco, omdat willekeurige gebruikers geen toegang hebben tot het host systeem. We gaan onderzoeken of de mitigatie op deze systemen ook mogelijk is, maar voor nu is het risico in onze ogen dus laag.
Overzicht betrokken omgevingen
| Naam | Wat draait erin | Fragnesia? | ssh-keysign-pwn | Risico | Status |
|---|---|---|---|---|---|
| CHP5 | webhosting omgeving voor omroepen en NPO teams | Nee | Ja | laag | evaluatie over mitigatie volgt |
| Cerberus | CHP/AWS SSO, monitoring, beheer | Nee | Ja | laag | evaluatie over mitigatie volgt |
| PowerDNS | PowerDNS + 2 bind slaves | Nee | Ja | geen1) | mitigatie is op 15 mei uitgerold |
| netboot | DNS, Mail, Icecast, ARLA, Monitoring, redir, backend | Nee | Nee | geen | hier hoeft (wederom) niets te gebeuren. Later dit voorjaar komt er een rondje reboots om netboot nog veiliger te maken op dit vlak. |
| Proxmox | alle on-prem VM's | Nee | Ja | geen2) | mitigatie is op 15 mei uitgerold |
| be1 | RCRS | Nee | Ja | geen3) | mitigatie is op 15 mei uitgerold |
We wachten even af waar over het weekend de diverse leveranciers mee komen en houden u op de hoogte als er ontwikkelingen zijn.
Bereikbaarheid
Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.