Atualize o kernel do Fedora 43 para 7.1.3 e corrija o CVE-2026-53359 (Januscape), vulnerabilidade de use-after-free no KVM que permite escape de convidado para hospedeiro. Guia técnico completo.
Em 7 de julho de 2026, a Fedora Project lançou o kernel 7.1.3 para Fedora 43, uma atualização de segurança classificada como Important que corrige a vulnerabilidade CVE-2026-53359, também conhecida como Januscape.
Trata-se de um use-after-free (UAF) no código do shadow MMU do KVM/x86, introduzido no kernel 2.6.36 (2010) e descoberto apenas 16 anos depois.
A falha permite que um convidado (guest VM) malicioso, com privilégios de root dentro da VM, corrompa a memória do hospedeiro (host), causando negação de serviço (panic do host) ou, em cenários mais sofisticados, execução de código arbitrário como root no hospedeiro.
O vetor de ataque exige que o host tenha a virtualização aninhada (nested virtualization) habilitada, o que força o KVM a usar o shadow MMU legacy em vez de EPT/NPT por hardware.
O impacto prático é severo: em ambientes de nuvem ou virtualização multi-tenant, um único invasor pode derrubar todo o host físico, afetando todas as VMs do mesmo hardware.
Este guia aborda o processo de atualização, verificação, validação e boas práticas operacionais para equipes de infraestrutura que gerenciam os hosts no Fedora 43 com workloads de virtualização.
Pré-requisitos
Antes de iniciar, verifique os seguintes itens:
⚠️ Atenção: A atualização do kernel exige reinicialização do sistema. Planeje uma janela de manutenção e comunique as equipes afetadas.
Passo a Passo
Verificação do Ambiente Atual
Antes de aplicar qualquer atualização, documente o estado atual do sistema:
$ uname -a Linux fedora43-host 7.1.2-200.fc43.x86_64 #1 SMP PREEMPT_DYNAMIC Mon Jun 29 14:23:45 UTC 2026 x86_64 GNU/Linux $ cat /etc/fedora-release Fedora release 43 (Thirty Five) $ rpm -q kernel kernel-7.1.2-200.fc43.x86_64
Por que isso importa: Registrar a versão atual permite comparar com a versão alvo após a atualização e facilita a criação de um plano de rollback, se necessário.
Verificação de Vulnerabilidade (Opcional)
Para os sistemas com o KVM em execução, você pode verificar se o shadow MMU está ativo — condição necessária para a exploração da falha:
$ cat /sys/module/kvm/parameters/nested 1
Se o valor for 1, a virtualização aninhada está habilitada e o sistema está potencialmente vulnerável ao CVE-2026-53359 .
Nota: Mesmo com nested desabilitado, recomenda-se a atualização, pois o kernel 7.1.3 contém outras correções de estabilidade e desempenho.
Aplicação da Atualização
A Fedora disponibilizou a atualização através do boletim FEDORA-2026-c3e2e91b4d. Utilize o dnf com a opção --advisory para instalar especificamente este pacote:
$ sudo dnf upgrade --advisory FEDORA-2026-c3e2e91b4d
Saída esperada (parcial):
Fedora 43 - x86_64 - Updates 7.8 MB/s | 34 MB 00:04 Dependencies resolved. ================================================================================ Package Arch Version Repository Size ================================================================================ Upgrading: kernel x86_64 7.1.3-100.fc43 updates 15 M kernel-core x86_64 7.1.3-100.fc43 updates 42 M kernel-modules x86_64 7.1.3-100.fc43 updates 34 M kernel-modules-core x86_64 7.1.3-100.fc43 updates 21 M Transaction Summary ================================================================================ Upgrade 4 Packages Total download size: 112 M Is this ok [y/N]: y
Por que usar --advisory em vez de dnf upgrade kernel: A opção --advisory garante que apenas os pacotes associados àquele boletim de segurança sejam atualizados, reduzindo o risco de alterações indesejadas em outros componentes.
Em ambientes de produção, isso oferece maior controle sobre o escopo da mudança.
Verificação Pós-Atualização (Antes do Reboot)
Após a instalação, verifique se o novo kernel foi instalado corretamente:
$ rpm -q kernel kernel-7.1.2-200.fc43.x86_64 kernel-7.1.3-100.fc43.x86_64
Ambas as versões devem aparecer. O sistema ainda está rodando o kernel antigo — a troca efetiva ocorrerá apenas após o reboot.
Reinicialização do Sistema
$ sudo systemctl reboot
Após a reinicialização, confirme a versão em execução:
$ uname -r 7.1.3-100.fc43.x86_64
Validação da Correção
A correção para CVE-2026-53359 foi introduzida pelo commit 0cb2af2ea66ad ("KVM: x86: Fix shadow paging use-after-free due to unexpected role"). Para verificar se o patch está presente.
$ dmesg | grep -i "kvm.*shadow" [ 5.123456] kvm: shadow paging fixed (CVE-2026-53359)
A mensagem exata pode variar. Alternativamente, verifique a assinatura do kernel:
$ cat /proc/version Linux version 7.1.3-100.fc43.x86_64 (mockbuild@buildvm-01.phx2.fedoraproject.org) (gcc (GCC) 14.2.1 20260124 (Red Hat 14.2.1-4), GNU ld version 2.43-4) #1 SMP PREEMPT_DYNAMIC Sat Jul 4 14:23:45 UTC 2026
A data de compilação (Sat Jul 4 2026) confirma que este é o kernel com a correção
Limpeza de Kernels Antigos (Opcional)
Após validar que o novo kernel está estável, remova versões antigas para liberar espaço em /boot:
$ sudo dnf remove kernel-7.1.2-200.fc43.x86_64⚠️ Armadilha comum: Iniciantes removem o kernel antigo imediatamente após o reboot, sem um período de validação. Mantenha pelo menos um kernel anterior por 7 dias em produção — se o novo kernel apresentar instabilidade, você poderá bootar com a versão anterior pelo GRUB.
📘 Indicação de Leitura
Esse livro é um guia prático e abrangente sobre a segurança do sistema operacional Linux como um todo. O livro ensina a pensar como um atacante para fortalecer a defesa do servidor, abordando tópicos fundamentais como:
- Ferramentas de rede: Nmap, Netcat, knockd.
- Monitoramento: de arquivos e sistemas de arquivos.
- Defesas: contra malware e ataques DDoS.
- Descoberta de vulnerabilidades: como invasores encontram pontos fracos.
Troubleshooting
Problema 1: Falha na Atualização — "No match for argument: --advisory FEDORA-2026-c3e2e91b4d"
Sintoma:$ sudo dnf upgrade --advisory FEDORA-2026-c3e2e91b4d No match for argument: --advisory FEDORA-2026-c3e2e91b4d Error: No packages marked for update.
Causa: O repositório updates não está sincronizado ou o boletim ainda não foi propagado para todos os mirrors.
Solução:
1. Force a atualização do cache de metadados:
$ sudo dnf clean all $ sudo dnf makecache
2. Tente novamente:
$ sudo dnf upgrade --advisory FEDORA-2026-c3e2e91b4d
3. Se o problema persistir, instale o kernel 7.1.3 diretamente:
$ sudo dnf upgrade kernel-7.1.3-100.fc43
Problema 2: Sistema Não Inicia com o Novo Kernel (Kernel Panic)
Sintoma: Após o reboot, o sistema exibe um kernel panic ou não completa a inicialização.
Solução (Rollback):
1. Reinicie o sistema e, durante o boot do GRUB, selecione "Advanced options for Fedora".
2. Escolha o kernel anterior (7.1.2 ou versão estável anterior).
3. Após o boot, remova o kernel problemático:
$ sudo dnf remove kernel-7.1.3-100.fc43.x86_64
4. Reporte o bug para a equipe de kernel da Fedora ou para o Bugzilla da Red Hat, incluindo os logs de dmesg e o dump do panic.
Boas Práticas Operacionais
Automação com Ansible
Para ambientes com múltiplos hosts Fedora 43, utilize Ansible para aplicar a atualização de forma orquestrada:
--- - name: Aplicar atualização crítica do kernel (CVE-2026-53359) hosts: fedora43_hosts become: yes tasks: - name: Instalar atualização do kernel via advisory dnf: name: kernel state: latest update_cache: yes notify: reboot_host handlers: - name: reboot_host reboot: reboot_timeout: 300 pre_reboot_delay: 30 post_reboot_delay: 30 test_command: uname -r | grep 7.1.3
Monitoramento Pós-Atualização
Após a atualização, monitore os seguintes indicadores:
Métrica: node_uname_info{release="7.1.3-100.fc43.x86_64"} (Prometheus)
Logs: Verifique /var/log/messages e dmesg por erros relacionados a KVM ou shadow MMU
Teste de carga: Execute workloads típicas para garantir que não há regressão de desempenho
Armadilha Comum
Iniciantes frequentemente executam dnf upgrade kernel sem verificar se o novo kernel realmente contém a correção desejada, confiando cegamente no "último disponível".
O kernel 7.1.3 foi lançado especificamente para o Fedora 43 com a correção do CVE-2026-53359, mas versões subsequentes (7.1.4, 7.2.0, etc.) podem ser lançadas posteriormente. Sempre verifique o changelog ou o boletim de segurança antes de aplicar qualquer atualização em produção.
Comando para verificar o changelog do kernel antes da instalação:
$ dnf changelog kernel-7.1.3-100.fc43 | grep -i cve - Fix CVE-2026-53359 (KVM shadow paging use-after-free)
Isso garante que você sabe exatamente o que está sendo instalado e por quê.
Conclusão
A atualização para o kernel 7.1.3 no Fedora 43 é crítica para qualquer ambiente que utilize KVM com virtualização aninhada — ou que simplesmente priorize a segurança em depth.
O CVE-2026-53359 (Januscape) é uma vulnerabilidade de alto impacto que permite a um convidado malicioso escapar para o hospedeiro, comprometendo todo o host físico.
Checklist final:
- Kernel atualizado para 7.1.3-100.fc43
- Sistema reiniciado com o novo kernel
- uname -r confirma a versão correta
- Logs verificados (sem erros KVM/shadow MMU)
- Workloads validados (sem regressão)
- Kernel antigo mantido como fallback (7 dias)
A correção para CVE-2026-53359 é apenas uma das melhorias incluídas no kernel 7.1.3. Manter-se atualizado com os boletins de segurança da Fedora é uma prática essencial para qualquer administrador de sistemas responsável por infraestrutura crítica.

Nenhum comentário:
Postar um comentário