В дефолтных установках Ubuntu Desktop 24.04 и новее нашли серьезную уязвимость (CVE-2026-3888, 7,8 балла по шкале CVSS), которая позволяет локальному атакующему повысить привилегии до уровня root.

Проблему обнаружили специалисты Qualys Threat Research Unit. Суть бага заключается в непредусмотренном взаимодействии двух стандартных компонентов системы: snap-confine (управляет средой выполнения snap-приложений и создает для них песочницу) и systemd-tmpfiles (автоматически очищает устаревшие временные файлы и каталоги в /tmp, /run и /var/tmp).

По умолчанию systemd-tmpfiles удаляет устаревшие данные в /tmp. Однако атакующий может воспользоваться этим, манипулируя таймингом циклов очистки.

В результате эксплуатация проблемы выглядит следующим образом: сначала нужно дождаться, пока демон удалит критически важный каталог /tmp/.snap, необходимый snap-confine для работы. По умолчанию это происходит через 30 дней в Ubuntu 24.04 и через десять дней в более поздних версиях. После удаления атакующему нужно пересоздать каталог с вредоносной полезной нагрузкой. В итоге при следующей инициализации песочницы snap-confine выполняет bind mount этих файлов с правами root, и произвольный код будет выполнен в привилегированном контексте.

Исследователи подчеркивают, что для атаки нужны минимальные привилегии и не требуется взаимодействие с пользователем.

Патчи уже выпущены для Ubuntu 24.04 LTS (snapd до версии 2.73+ubuntu24.04.1), Ubuntu 25.10 LTS (snapd до 2.73+ubuntu25.10.1), Ubuntu 26.04 LTS Dev (snapd до 2.74.1+ubuntu26.04.1), а также для апстрима snapd (до версии 2.75).

Помимо CVE-2026-3888, исследователи обнаружили состояние гонки в пакете uutils coreutils. Баг позволяет непривилегированному локальному атакующему подменять записи каталогов симлинками во время выполнения cron-задач от root, что может привести к удалению произвольных файлов или дальнейшему повышению привилегий.

В Ubuntu 25.10 дефолтную команду rm вернули на GNU coreutils для оперативного устранения риска, а апстрим-репозиторий uutils уже получил исправления.