Российский провайдер IT-инфраструктуры Selectel устранил критическую уязвимость ядра Linux CVE-2026-31431 в своей серверной операционной системе SelectOS 1.3. Эксплойт позволял локальному пользователю повысить привилегии до уровня root, используя ошибку в подсистеме криптографического API (AF_ALG).
Как обещают разработчики, команда SelectOS закрыла уязвимость в платных и бесплатных репозиториях, исключив риски для пользователей. Исправление было локализовано внутри системы, что избавило клиентов от необходимости дополнительных действий по защите. В Selectel пояснили:
Уязвимость возникла в Linux ещё в 2017 году в результате изменений, направленных на оптимизацию работы кода, и затрагивала широкий спектр дистрибутивов Linux, использующих соответствующую подсистему ядра. Тогда была убрана избыточная синхронизация, что впоследствии привело к race condition и потенциальному use-after-free.
Напомним, SelectOS — это серверная ОС на базе Debian с предварительно настроенным и оптимизированным серверным ПО, включая веб-серверы, балансировщики, базы данных и системы резервного копирования. Локальный репозиторий обеспечивает обновление критически важных компонентов. Система официально зарегистрирована в реестре Минцифры РФ как отечественная разработка.