CVE-2026-53236
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
W jądrze Linuxa załatanie ogranicza możliwość używania opcji SO_ATTACH_FILTER (cBPF) na gniazdach TCP tylko do użytkowników z uprawnieniami CAP_NET_ADMIN. Zapobiega to atakom typu side-channel, w których nieuprzywilejowana aplikacja mogłaby wyciekać numery sekwencji TCP.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych z połączeń TCP, co może umożliwić przejęcie sesji lub podsłuchiwanie ruchu sieciowego przez lokalnego atakującego bez uprawnień.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linuxa do wersji zawierającej tę łatkę. Jeśli aktualizacja nie jest możliwa, rozważ ograniczenie dostępu do gniazd TCP dla nieuprzywilejowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: tcp: restrict SO_ATTACH_FILTER to priv users This patch restricts the use of SO_ATTACH_FILTER (cBPF) on TCP sockets to users with CAP_NET_ADMIN capability. This blocks potential side-channel attack where an unprivileged application attaches a filter to leak TCP sequence/acknowledgment numbers.

