PinTheft: al cincilea val — un double-free în RDS targetează în special Arch Linux

 Echipa V12 Security descoperă o nouă vulnerabilitate de escaladare locală a privilegiilor în subsistemul RDS al kernelului Linux — cu exploit public funcțional, patch disponibil și un risc concentrat pe Arch Linux, care încarcă modulul vulnerabil implicit.

22 mai 2026·Pablinux · LinuxAdictos·~4 min citire

---

PinTheftEscaladare locală de privilegii — RDS zerocopy + io_uring

N/A

CVE în curs

Descoperit de

Echipa V12 Security

Subsistem afectat

RDS (Reliable Datagram Sockets)

Exploit public

Da — PoC funcțional disponibil

Patch mainline

Disponibil — lore.kernel.org

La mai puțin de o lună de la Copy Fail, a cincea vulnerabilitate critică de escaladare locală a privilegiilor din kernelul Linux a primit nume propriu: PinTheft. Descoperit de același echipă V12 Security care a raportat Fragnesia, bug-ul exploatează o cale diferită față de predecesorii săi — subsistemul RDS (Reliable Datagram Sockets) — combinând o eroare de dublă eliberare a memoriei cu io_uring pentru a obține control deplin asupra sistemului.

Luna mai 2026: cinci valuri în mai puțin de patru săptămâni

1

Copy Fail

CVE-2026-31431

2

Dirty Frag

CVE-2026-43284

3

Fragnesia

CVE-2026-46300

4

ssh-keysign-pwn

CVE-2026-46333

5

PinTheft

CVE în curs

Mecanismul tehnic: double-free în calea zerocopy a RDS

PinTheft exploatează o eroare de dublă eliberare a memoriei (double-free) situată în calea de transfer zerocopy a subsistemului RDS. Calea zerocopy este o optimizare de performanță care permite transferul datelor între spațiul utilizator și kernel fără a le copia — reducând latența și consumul CPU. Exact această optimizare creează o ferestă de atac.

⚙️ Lanțul de exploatare — PinTheft

1Atacatorul trimite date prin calea zerocopy RDS, provocând o dublă eliberare a memoriei — același bloc de memorie este marcat ca liber de două ori în structurile interne ale kernelului.

2Prin apeluri io_uring calibrate, atacatorul reutilizează blocul de memorie eliberat de două ori pentru a introduce date controlate în structuri interne ale kernelului.

3Datele introduse suprascriu cache-ul de pagini al sistemului — similar cu Dirty Frag și Fragnesia — permițând modificarea binare privilegiate în memorie.

4Exploatarea unui binar SUID accesibil (ex: /usr/bin/su) ale cărui pagini au fost modificate în cache → shell root.

De ce Arch Linux este cel mai expus

Spre deosebire de Dirty Frag sau Fragnesia — care afectau uniform toate distribuțiile Linux — PinTheft are o suprafață de atac redusă prin trei precondiții tehnice. Problema pentru utilizatorii Arch Linux: distribuția îndeplinește implicit mai multe dintre aceste cerințe decât alte sisteme.

📡

Modul RDS încărcat

Arch Linux încarcă modulul RDS implicit — condiție îndeplinită automat pe orice instalare standard

⚠️ Arch: implicit activ

🔗

io_uring activat

Activat implicit în kernelurile moderne Linux — prezent pe aproape orice distribuție recentă

General

🔐

Binar SUID accesibil

Prezent pe orice sistem Linux standard cu utilități de bază (su, sudo, passwd etc.)

General

Distribuțiile care dezactivează explicit modulul RDS — fie prin configurare de compilare, fie prin blacklist în modprobe — nu sunt vulnerabile practic, chiar dacă rulează un kernel nepatched. Arch Linux nu aplică această restricție, ceea ce o face ținta principală identificată în notele de divulgare.

„PinTheft nu adaugă complexitate față de predecesorii săi — dar schimbă subsistemul afectat. Fiecare val din luna mai a demonstrat că aceeași clasă de primitiv de scriere în page cache poate fi atins prin rute diferite ale kernelului."

Diferențe față de vulnerabilitățile anterioare

• 🔄Mecanism diferit: double-free, nu path injectionCopy Fail, Dirty Frag și Fragnesia injectau pagini controlate în buffer-uri de protocol. PinTheft folosește o dublă eliberare — o clasă distinctă de bug de gestionare a memoriei care converge spre același efect: scriere arbitrară în page cache.
• 🎯Suprafață de atac mai restrânsăCele trei precondiții (RDS activ + io_uring + SUID) reduc numărul sistemelor vulnerabile în practică față de Dirty Frag sau Fragnesia, care nu necesitau configurații speciale.
• 📋CVE în curs, patch deja disponibilSpre deosebire de unele vulnerabilități anterioare unde patch-ul a urmat după divulgare, pentru PinTheft corecția este disponibilă pe lore.kernel.org înainte de atribuirea formală a identificatorului CVE.

Mitigare temporară: blacklist modul RDS

# Mitigare temporară — blochează modulul RDS și curăță page cache

echo "install rds /bin/false" > /etc/modprobe.d/pintheft.conf

rmmod rds 2>/dev/null

# Opțional: curăță page cache pentru a elimina pagini potențial corupte

echo 3 > /proc/sys/vm/drop_caches

Dezactivarea modulului RDS nu afectează funcționalitatea pe marea majoritate a sistemelor desktop și server generaliste — RDS este folosit în principal în clustere Oracle RAC și configurații specifice de înaltă disponibilitate. Pe Arch Linux standard, blacklist-ul modulului este sigur și nu produce efecte secundare observabile.

Status distribuții

Arch Linux — risc ridicat, RDS activ implicitManjaro — risc moderat, verificați moduleleEndeavourOS — risc moderatUbuntu / Debian — RDS dezactivat de obiceiFedora / RHEL — verificați configurațiaPatch mainline disponibil — lore.kernel.org

Recomandarea echipei V12 Security și a comunității de securitate este clară: actualizarea la un kernel cu patch integrat rămâne soluția definitivă. Până la disponibilitatea unui pachet de kernel actualizat din repo-urile distribuției, blacklist-ul modulului RDS via modprobe este mitigarea temporară recomandată — mai ales pentru utilizatorii Arch Linux care rulează sisteme multiutilizator sau expuse rețelei.