Linux'un KVM hipervizöründeki ücretsiz kullanımdan sonra kullanım hatası, onu çalıştıran ana bilgisayar çekirdeğinin gölge sayfa durumunu bozmak için konuk sanal makineden tetiklenebilir.
'Januscape' olarak adlandırılan ve CVE-2026-53359 olarak takip edilen kusur, KVM'nin hem Intel hem de AMD genelinde paylaştığı gölge MMU kodunda yer alıyor. Kamuya açık kavram kanıtı sunucuyu paniğe sokar; araştırmacı, ayrı, yayınlanmamış bir istismarın aynı hatayı tam ana bilgisayar kodunun çalıştırılmasına dönüştürdüğünü iddia ediyor.
Güvenlik araştırmacısı Hyunwoo Kim (@v4bel) hatayı buldu ve bildirdi. Januscape'i, kamuoyunun bildiği kadarıyla hem Intel hem de AMD'de tetiklenebilen ilk konuktan ana bilgisayara güvenlik açığı olarak tanımladı. Kusur yaklaşık 16 yıl boyunca fark edilmedi.
Kim'e göre bu istismar, konuktan ana bilgisayara tam kaçış için 250.000 dolara kadar teklif sunan kontrollü KVM güvenlik açığı ödül programı olan Google'ın kvmCTF'sinde sıfır gün gönderimi olarak kullanıldı.
Sistem Güvenliği
Bir sanal makineyi çalıştırmak için KVM, konuğun bellek düzenini yansıtan kendi özel sayfa tabloları kümesini tutar. Bu izleme sayfalarından birine ihtiyaç duyduğunda, yeniden kullanmak üzere mevcut olanı arar.
Sorun şuydu: Onları yalnızca hafıza adresiyle eşleştiriyordu ve ne tür bir izleme sayfası kaptığını göz ardı ediyordu. İki farklı tür aynı adresi paylaşabilir ancak tamamen farklı işler yapabilir; dolayısıyla KVM bazen yanlış türü yeniden kullanabilir.
Bu karışıklık, KVM'nin hangi sayfanın nereye ait olduğuna dair dahili kayıtlarını karıştırıyor ve bu kayıtlar yanlış olduğunda bir şeyler vermek zorunda kalıyor.
Sonuç ve Değerlendirme
Çoğu zaman çekirdek karışıklığı fark eder ve hasar vermemek için kendini anında kapatır. Bu çökme, halka açık gösterinin tetiklediği şeydir: bir misafir tüm ana bilgisayarı devirebilir ve o makinedeki diğer tüm VM'leri de kendisiyle birlikte çökertebilir.
Daha nadir ve daha kötü durum, serbest bırakılan izleme sayfasının, çekirdek temizlenmeden önce başka bir kullanıma dağıtılması durumunda ortaya çıkar. Temizleme işlemi daha sonra artık sahip olmadığı belleğe bir değer karalar. Saldırgan, neyin yazılacağını değil, yalnızca bu yazının nereye ineceğini kontrol eder; ancak bu sınırlı dayanak noktası bile ana bilgisayarda kod çalıştırmak için kullanılabilir.
Kusur, Intel ve AMD yongalarında da aynı şekilde davranıyor; yalnızca onu tam kontrole dönüştürmenin en son ve en zor adımı, her biri üzerinde farklı çalışma gerektirir.
Nasıl Önlem Alınmalı?
Güvenlik açığı bulunan kod, Ağustos 2010'daki (çekirdek 2.6.36 dönemi) 2032a93d66fa işleminden bu yana mevcuttu ve 19 Haziran 2026'da ana hat ile birleştirilen 81ccda30b4e8 işlemiyle düzeltildi.
Saldırı, konuk tarafından iki şey gerektirir: VM içinde kök, kiralanan bulut örneklerinde ortak bir durum ve ana bilgisayar tarafından açığa çıkan iç içe sanallaştırma. Varsayılan olarak donanım EPT veya NPT çalıştıran ana bilgisayarlarda bile, iç içe sanallaştırma, KVM'yi hatanın bulunduğu eski gölge MMU'ya geri dönmeye zorlar.
Bu istismarın QEMU'dan veya herhangi bir kullanıcı alanı VMM'sinden işbirliği yapmasına gerek yoktur. Bu tamamen çekirdek içi bir KVM hatasıdır.
Uzmanların Görüşleri
Pratik kaygı, güvenilmeyen konukları iç içe sanallaştırmanın etkin olduğu şekilde barındıran herhangi bir x86 ortamıdır. Bu tür tek bir örneği kiralayan bir saldırgan, ana makineyi panikleyerek aynı fiziksel makinedeki diğer tüm kiracı VM'leri devre dışı bırakabilir.
Kim, engellenen tam istismarın, ana makinede root olarak kod çalıştırdığını, bunun da aynı makinedeki diğer konukları bu root erişimine maruz bırakacağını söyledi. Kim, /dev/kvm'nin herkes tarafından yazılabilir olduğu (0666) RHEL gibi dağıtımlarda aynı hatanın, konuktan ana bilgisayara giden yolun daha yüksek etkili kullanım olmasına rağmen, köke yerel ayrıcalık yükseltme işlevi de görebileceğini belirtti.
Detaylar ve Etkileri
Bir Araştırmacı İçin Yoğun Birkaç Ay
Januscape, Kim'in yaklaşık iki ay içinde yaptığı üçüncü Linux çekirdeği istismarı açıklamasıdır. Mayıs 2026'da, çoğu büyük dağıtımda deterministik kök sağlayan ve Dirty Pipe ve Copy Fail ile aynı hata sınıfını genişleten bir sayfa önbellek yazma güvenlik açığı zinciri olan Dirty Frag'i (CVE-2026-43284 / CVE-2026-43500) açıkladı.
Gelecekte Ne Bekleniyor?
Haziran ayında, sanal kesinti denetleyicisindeki bir yarış koşulundan yararlanarak KVM/arm64'te halka açık olarak gösterilen ilk konuktan ana bilgisayara kaçış olan ITScape'i (CVE-2026-46316) yayınladı. Januscape artık x86 tarafını ekliyor; PoC'nin her satıcı için ayrı bir kod yolu taşımasıyla aynı tetikleyici hem Intel hem de AMD'de etkinleşir.
Google, KVM'nin hem Android'i hem de Google Cloud'u desteklemesi nedeniyle kvmCTF'yi 2024'te başlattı. İlgili ancak belirgin bir rmap uyumsuzluğu içeren ayrı bir KVM x86 gölge sayfalama ücretsiz kullanımdan sonra (CVE-2026-46113) Mayıs 2026'da düzeltildi.
Teknik Analiz
Bu, iki ay içinde aynı eski kod yolunda iki gölge MMU'nun serbest bırakma sonrasında kullanılması anlamına gelir.
Düzeltme, kvm_mmu_get_child_sp() işlevine tek satırlık bir eklemedir: yeniden kullanım koşulu artık role.word dosyasının yanında rol.word'ü de kontrol eder. gfn olduğundan, gölge sayfa yalnızca hem çerçeve numarası hem de rol eşleştiğinde yeniden kullanılır. Yamayı KVM sorumlusu Paolo Bonzini yazdı.
4 Temmuz 2026'da gönderilen sabit kararlı sürümler: 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 ve 5.10.260. NVD henüz bir CVSS puanı belirlemedi; birini beklemeyin.
Önemli Gelişmeler
Yuvalanmış sanallaştırmayla çok kiracılı konukları kabul eden bir x86 KVM ana bilgisayarı işletiyorsanız çekirdeğinizin 81ccda30b4e8 taahhütünü içerdiğini doğrulayın. Dağıtım destek portları düzeltmeyi farklı bir sürüm numarası altında taşıyabilir; bu nedenle yalnızca uname -r'ye güvenmek yerine paket değişiklik günlüğünü kontrol edin.
Hemen yama yapamıyorsanız, iç içe sanallaştırmayı devre dışı bırakmak (kvm_intel.nested=0 veya kvm_amd.nested=0), güvenilmeyen misafirlere yönelik saldırı yolunu kaldırır. ARM64 ana bilgisayarları Januscape'ten etkilenmez; ITScape (CVE-2026-46316) ayrı bir KVM/arm64 sorunudur.
Herkese açık PoC, yüklenebilir bir çekirdek modülüne ve saniyeler ila dakikalar süren yarışa sahip bir misafirin güvenilir bir ana bilgisayar paniği gösterdiğini gösterir. Açığa çıkan x86 KVM ana bilgisayarlarını iç içe sanallaştırmayla yüksek öncelikli yama hedefleri olarak değerlendirin.
Güncelleme: Dağıtım Yaması Durumu
6 Temmuz 2026'da güncellendi. Düzeltme, 4 Temmuz'da ana hat kararlı çekirdeklerine ulaştı (7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211, 5.10.260). Aşağı akış dağıtımları, destek portunu kendi programlarına göre gönderir; bu nedenle, yalnızca yukarı akış sürümü yerine satıcınızın izleyicisine göre durumu doğrulayın.
Debian: DSA-6381-1'de (5 Temmuz) test/trixie (linux 6.12.95-1) ve kararsız/sid (7.1.3-1) için düzeltildi. Ahır (kitap kurdu) ve eskistable (hedef) hala savunmasızdı ve düzeltmeler bekleniyordu.
: Test/trixie ( ) ve kararsız/sid ( ) için DSA-6381-1'de (5 Temmuz) düzeltildi. Ahır (kitap kurdu) ve eskistable (hedef) hala savunmasızdı ve düzeltmeler bekleniyordu. SUSE / openSUSE : Önemli olarak değerlendirildi. Çoğu SUSE Linux Enterprise 15 SP7 ve Leap ürününde durum Beklemede olup, çekirdek güncellemeleri yayınlanmak yerine QA aşamasındadır. Yayınlandıktan sonra zypper yaması aracılığıyla başvurun.
: Önemli olarak değerlendirildi. Çoğu SUSE Linux Enterprise 15 SP7 ve Leap ürününde durum Beklemede olup, çekirdek güncellemeleri yayınlanmak yerine QA aşamasındadır. Yayınlandıktan sonra başvurun. AlmaLinux, Rocky Linux, Oracle Linux: Bunlar RHEL'den yeniden oluşturulur ve çekirdek hatalarını izler; tavsiyelerinin ilgili Red Hat güncellemesini takip etmesini bekliyoruz.
: Bunlar RHEL'den yeniden oluşturulur ve çekirdek hatalarını izler; tavsiyelerinin ilgili Red Hat güncellemesini takip etmesini bekliyoruz. Red Hat: Ürün bazında durum ve RHSA yayınlandıktan sonra Red Hat CVE sayfasında yer alır.
: Ürün bazında durum ve RHSA yayınlandıktan sonra Red Hat CVE sayfasında yer alır. Ubuntu: Canonical'in sürüm başına durumu Ubuntu CVE izleyicisindedir.
NVD, bu yazının yazıldığı sırada CVE'yi puanlamamıştı ancak SUSE bunu 8,8 (v3.1) / 9,3 (v4.0) olarak derecelendirdi; bu, açığa çıkan ana bilgisayarlara yama yapmadan önce NVD numarasının beklenmemesi gerektiğini hatırlattı.