Патчинг в мире Linux редко выглядит захватывающе. Каждый вторник или четверг команды безопасности публикуют длинные списки идентификаторов CVE, и большинство администраторов воспринимают их примерно так же, как фоновый шум системных логов. Февраль 2026 года оказался другим. За две с небольшим недели AlmaLinux, Debian и Fedora выпустили волну обновлений, в центре которой оказались браузерный движок Chromium с реально эксплуатируемым zero-day и сразу несколько криптографических компонентов, от которых зависит безопасность почти любой современной инфраструктуры. Картина получилась насыщенной, и разбираться в ней есть смысл по порядку.
AlmaLinux лечит ядро реального времени и OpenSSL от серьёзных ошибок памяти
AlmaLinux традиционно движется по следам Red Hat Enterprise Linux, и февральская серия обновлений не стала исключением. Команда безопасности выпустила два взаимосвязанных патча, которые затрагивают самое чувствительное место системы: ядро реального времени kernel-rt и библиотеку OpenSSL.
Обновление kernel-rt (ALSA-2026:2821 и следующий за ним ALSA-2026:3110 со статусом Important) закрыло сразу несколько классов уязвимостей, которые сами по себе могли бы занять отдельный пост-мортем. Здесь и use-after-free в подсистеме eventpoll (CVE-2025-38349), и выход за пределы стека в обработчике tc-записей планировщика mqprio (CVE-2025-38568), и двойное освобождение памяти в драйвере xe видеокарт Intel (CVE-2025-38731). Всё это уязвимости типа "memory corruption" в привилегированном пространстве ядра, то есть потенциальный вектор для локальной эскалации привилегий. Для систем, где kernel-rt используется ради детерминированных латентностей в критических вычислительных задачах, откладывать такое обновление особенно рискованно: именно там, где требуется максимальная предсказуемость, цена компрометации наиболее высока.
OpenSSL получил патч CVE-2025-69419, закрывающий возможность произвольного выполнения кода через обработку PKCS#12. Формат PKCS#12 широко используется для хранения и транспортировки сертификатов вместе с закрытыми ключами, и уязвимость типа out-of-bounds write в этом контексте означает, что специально сформированный файл контейнера мог привести к исполнению произвольного кода в процессе, его открывающем. По шкале CVSS обновление получило статус Moderate, но с учётом того, где и как обрабатываются PKCS#12-файлы, практическая значимость патча выше, чем этот статус подразумевает.
Debian закрыл больше десяти уязвимостей за неполные две недели
Debian в феврале работал особенно интенсивно. Страница LTS Security за период с 17 по 25 февраля насчитывает более десяти самостоятельных бюллетеней, каждый из которых закрывает от одной до четырёх уязвимостей. Если смотреть на пакеты, которых это касается, становится понятно: обновления шли прицельно по наиболее используемым компонентам.
Chromium получил два отдельных обновления. DSA-6146-1 от 20 февраля и DSA-6151-1 от 26 февраля закрыли в том числе уязвимость CVE-2026-2441, квалифицированную как use-after-free в CSS-движке. Это тот самый zero-day, который к моменту публикации патча уже активно эксплуатировался в дикой природе. Use-after-free в браузерном движке означает, что атакующий может выполнить произвольный код через специально сформированную веб-страницу внутри песочницы браузера. CVSS-оценка 8.8 говорит сама за себя.
Библиотека libvpx (DSA-6143-1 и DLA-4489-1) скрывала переполнение буфера в реализации видеокодеков VP8 и VP9. CVE-2026-2447 позволял вызвать отказ в обслуживании или исполнить произвольный код при обработке специально подготовленного видеопотока. Учитывая, что libvpx используется в браузерах, видеоконференцсвязи и медиаплеерах, поверхность атаки здесь весьма широка.
Не менее любопытная история произошла с glib2.0 (DLA-4491-1). Фреймворк GLib, который выступает фундаментом для огромного числа GNOME-приложений, скрывал четыре уязвимости одновременно: integer overflow в реализации Unicode case conversion (CVE-2026-1489), который мог приводить к out-of-bounds write при обработке специально сформированных строк, а также buffer underflow в функции g_buffered_input_stream_peek() (CVE-2026-0988). Обе ошибки эксплуатируются через обработку вредоносных данных, что делает их применимыми в самых разных сценариях атак на пользовательские приложения.
Отдельного внимания заслуживает обновление ca-certificates. Это не классическое CVE-исправление, а планановая ротация корневых центров сертификации: добавлены новые доверенные CA и удалены те, чьи сертификаты истекли. Казалось бы, рутина. Но на практике устаревшая база CA способна вызывать неожиданные сбои TLS-соединений, которые практически невозможно диагностировать без понимания корня проблемы. Один сисадмин из крупного интернет-провайдера однажды потратил трое суток на расследование периодически падающего HTTPS-соединения именно из-за истёкшего корневого сертификата в системном хранилище.
Fedora, MinGW и браузерный zero-day, добравшийся до открытого кода
Fedora в феврале сосредоточилась на двух фронтах: Chromium и семейство mingw-пакетов. Если с Chromium история та же, что и у Debian (версия 145.0.7632.75 закрыла CVE-2026-2441 и ещё десяток уязвимостей в CSS-движке, кодеках, WebGPU и DevTools), то с MinGW ситуация интереснее.
MinGW (Minimalist GNU for Windows) в контексте Fedora означает набор пакетов для кросс-компиляции: разработчик собирает под Windows прямо на Linux-машине. Казалось бы, инструментальный пласт, не имеющий отношения к production. На деле именно эти пакеты часто снабжают скомпилированные Windows-приложения устаревшими версиями системных библиотек, которые потом годами живут в дистрибутивах.
Февральская волна патчей затронула mingw-libpng (CVE-2026-25646, heap overflow в функции png_set_quantize), mingw-expat (CVE-2026-24515, null pointer dereference при разборе XML) и mingw-glib2 с бэкпортами трёх CVE из декабря 2025 года. Все три обновления охватывают Fedora 42 и 43.
Цепочка CVE в Chromium для Fedora выглядит особенно примечательно. Один пакет, одно обновление до версии 145.0.7632.75, и в нём закрыто сразу: CVE-2026-2441 (use-after-free в CSS), CVE-2026-2313 (ещё один use-after-free в CSS), CVE-2026-2314 (heap buffer overflow в кодеках), CVE-2026-2315 (некорректная реализация WebGPU), CVE-2026-2316 (недостаточное применение политик безопасности для фреймов) и ещё шесть менее критичных пунктов. Десять уязвимостей одним патчем. Такую плотность браузерных ошибок за один релизный цикл хорошо не назовёшь.
Что объединяет три дистрибутива в этой истории
Если смотреть на февральские обновления не как на список идентификаторов, а как на паттерн, вырисовывается любопытная картина. Все три дистрибутива одновременно закрывали уязвимости в трёх смежных доменах: браузерные движки, криптографические библиотеки и базовые системные компоненты.
Браузеры уязвимы постоянно и ожидаемо: в Chromium разработчики Google фактически держат отдельную команду, которая непрерывно закрывает дыры в CSS-движке, JavaScript-рантайме и обработчиках медиа. Интереснее другое. То, что OpenSSL, GLib и libvpx получили серьёзные патчи практически синхронно, говорит о системном характере проблемы: эти библиотеки лежат в основании огромного числа компонентов, и их безопасность редко оказывается в фокусе внимания до тех пор, пока не возникает реальный CVE.
Синхронность патчинга трёх крупных дистрибутивов в этом случае работает в пользу пользователей. Когда уязвимость в общей библиотеке закрывается одновременно в AlmaLinux, Debian и Fedora, администратор любой из этих систем получает патч примерно в одно время, не ожидая, пока его дистрибутив "дойдёт до очереди". Это следствие того, что open source экосистема, при всей своей раздробленности, умеет координироваться в вопросах безопасности лучше, чем принято думать.
Практические выводы для тех, кто администрирует эти системы
Каждое из описанных обновлений несёт конкретные рекомендации. Если в инфраструктуре используется AlmaLinux с kernel-rt, патчинг стоит провести в ближайшее окно обслуживания, не откладывая: эскалация привилегий через ядро реального времени слишком весомый риск для любой серьёзной системы.
Пользователи Debian, у которых на машинах есть Chromium, могли работать с небезопасным браузером несколько дней после того, как zero-day CVE-2026-2441 стал известен публично. Это не гипотетическая угроза, а реальное окно экспозиции. Именно поэтому обновления пакетного менеджера, которые многие откладывают "на выходных", имеют смысл запускать сразу, как только они появляются в репозитории.
Наконец, история с mingw-пакетами в Fedora напоминает об уязвимости, которую удобно игнорировать: инструментальные зависимости сборочной среды несут в себе те же риски, что и production-пакеты. Кросс-компиляция под Windows через уязвимую версию libpng или expat означает, что каждый скомпилированный таким образом дистрибутив потенциально содержит небезопасный код. Это не теоретическая угроза для библиотек, которые используются для обработки пользовательских данных.
Февральский патчинг завершён, CVE закрыты, репозитории обновлены. Но настоящий смысл этой истории не в конкретных номерах уязвимостей, а в другом: безопасность распределённой open source экосистемы держится на множестве незаметных людей, которые каждую неделю пишут патчи, проводят ревью и выпускают бюллетени. Когда все они делают свою работу синхронно, система работает так, как задумана.
Канал сайта в Telegram
Канал сайта на YouTube