CVE-2026-46076: Luka w jądrze Linux dotycząca obsługi VMMCALL w KVM nSVM
Wysokie ryzyko w jądrze Linux KVM nSVM związane z nieobsłużonym VMMCALL. Zalecane aktualizacje i monitorowanie środowisk wirtualnych.
- CVSS
- 7.9 HIGH
- EPSS
- 2.25%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- linux kernel
Co wiadomo
W jądrze Linux załatano lukę w KVM nSVM, gdzie nieobsłużone wywołanie VMMCALL nie było poprawnie przechwytywane przez L1, co mogło pozwolić L2 na wykonywanie hiperwywołań jak L1. Luka ta została naprawiona przez wymuszenie błędu #UD, gdy VMMCALL nie jest przechwycony zgodnie z architekturą.
Wpływ biznesowy
Ta luka o wysokim poziomie zagrożenia (CVSS 7.9) może prowadzić do nieautoryzowanego wykonywania hiperwywołań na poziomie L2, co stwarza ryzyko eskalacji uprawnień lub naruszenia izolacji maszyn wirtualnych. Operatorzy systemów korzystających z KVM i nSVM powinni zwrócić uwagę na aktualizacje jądra, aby zabezpieczyć środowiska wirtualne przed potencjalnymi atakami.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji jądra Linux u dostawcy i ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję maszyn wirtualnych korzystających z KVM nSVM, monitorować logi systemowe pod kątem nietypowych wywołań VMMCALL oraz priorytetyzować działania zabezpieczające w środowiskach wirtualizacyjnych.