Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
Patch Tuesday v dvojité dávce: Proč váš server nemůže přeskočit aktualizace cPanelu i kernelu

Patch Tuesday v dvojité dávce: Proč váš server nemůže přeskočit aktualizace cPanelu i kernelu

Kvě 13, 2026 cpanel security linux kernel dirtyfrag cve patching system administration server security vulnerability management infrastructure

Den, kdy server žádal dvě nouzové aktualizace

Představte si: máte server s cPanel. Ráno se probudíte a čekají vás hned dvě kritické bezpečnostní krize. Jedna má patch připravený k nasazení. Druhá? Žádný fix zatím neexistuje, ale exploit je veřejný. To byl 8. květen – připomínka, že bezpečnost se nečeká na váš kalendář.

cPanel výzva: Tři díry v jeden den

cPanel tentokrát šel jinou cestou. Na rozdíl od dubnového bypassu autentizace (CVE-2026-41940), kde už útočníci řádili, teď nejdřív oznámili patche bez detailů. Pak vypustili fixy i popis současně. Správný tah.

Přišly tři CVEs: CVE-2026-29201, CVE-2026-29202 a CVE-2026-29203. Co je na nich nebezpečné?

CVE-2026-29201 (CVSS 4.3 – střední riziko)
Chyba v validaci vstupu u adminbin volání LOADFEATUREFILE. Útočník s platným účtem na serveru pošle relativní cestu a udělá libovolné soubory čitelnými pro všechny. Potřebuje přístup, ale uvnitř může vytáhnout configy, backupy nebo citlivá data.

Velký obrázek
Všechny tři vyžadují autentizovaný přístup. Útočník musí být už na systému. Zní to bezpečně, ale realita je jiná. Pokud váš server prošel 64denní exploitem dubnové CVE-2026-41940, máte tam možná neznámého hosta.

DirtyFrag: Kernelová past od roku 2017

Zatímco cPanel řešil patche, Linux kernel čelil DirtyFrag. Zveřejněno 7. května, lokální escalace privilegií schovaná od 2017. Exploit vyšel bez patche.

Každý neprivilegovaný uživatel na serveru mohl získat root. Ne jen admin, kdokoli.

Naštěstí distro jako Ubuntu nebo CentOS patche vyjely 8. května. Ale kernel update znamená reboot a výpadek. Na produkci s více klienty to není lehké rozhodnutí.

Co dělat hned teď

Priorita 1: Zkontrolujte cPanel patche
Dubnový bypass (CVE-2026-41940) se exploitoval týdny. Patch je nutnost. Ale pozor – pokud tam někdo byl během těch 64 dnů, má zadní vrátka. Prověřte:

  • Access logy na podezřelou aktivitu
  • Změny v klíčových souborech
  • Plný bezpečnostní audit, pokud si nejste jisti

Priorita 2: Plánujte kernel update
DirtyFrag je vážné, ale potřebuje lokální přístup. Riziko nižší než remote, ale plánujte maintenance window. Výpadek ano, ale otevřená díra horší.

Priorita 3: Testujte patche dřív
Nenechte se svést tlačítkem "update". Otestujte na stagingu. Viděli jsme, jak bezpečnostní fix rozbije jiné věci. Hodina testu ušetří hodiny oprav.

Filozofie zveřejnění

cPanel přístup – předznamenat bez detailů, pak vše najednou – funguje. Dává adminům čas bez návodu pro hackery. Na rozdíl od CVE-2026-41940, kde útok přišel bez varování. Timing disclosure je klíč.

Proč tohle není konec

Dvě krize najednou ukazují: bezpečnost je vrstvy. Aplikace i kernel. Oba patchete. DirtyFrag, schovaný roky, připomíná – bezpečnost běží nonstop. Tisíce komponent, každý svůj cyklus.

Jak patching zjednodušit

U NameOcean nebo vlastního cPanelu zkuste:

  • Automatizujte. Kernel patche jdou často automaticky, pokud app vydrží reboot.
  • Sledujte CVEs. Nástroje upozorní na rizika pro váš stack.
  • Testujte na stagingu. Vždy.
  • Zapisujte si patche. Datum, co, kdy – při incidentu zlaté.
  1. května nebyl výjimka, je to nová norma. Více dier, různé rizika, termíny. Přežijí ti, co patching berou jako proces, ne čtvrtletní povinnost.

Buďte ostražití.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN