Dagen, hvor serveren krævede to nødopdateringer

Forestil dig at starte dagen med en cPanel-server, der pludselig står over for to kritiske sikkerhedstrusler. Den ene har patches klar til brug. Den anden mangler stadig en løsning, men udnyttelsen er allerede ude i det fri. Det skete den 8. maj – et klart tegn på, at sikkerhed aldrig passer på din tidsplan.

cPanel-krisen: Tre huller på én gang

cPanel håndterede den 8. maj anderledes end tidligere. I modsætning til authentication bypass fra 28. april (CVE-2026-41940), der ramte med aktive angreb i gang, annoncerede de patches på forhånd uden tekniske detaljer. Derefter sluppet de både rettelserne og infoen samlet.

Tre CVEs ramte: CVE-2026-29201, CVE-2026-29202 og CVE-2026-29203. Her er, hvad der gør dem farlige:

CVE-2026-29201 (CVSS 4.3 - Medium) Fejl i input-validering i LOADFEATUREFILE-adminbin-kaldet. En angriber med gyldigt login kan bruge relative stier til at gøre filer world-readable. Det kræver adgang, men indeni kan de stjæle konfigfiler, backups eller andet følsomt.

Det store billede Alle tre kræver autentificeret session. Angriberen skal allerede være inde. Det lyder betryggende, men tænk på april-hullet, der blev udnyttet i 64 dage. Har du en skjult backdoor?

DirtyFrag: Kernel-trusselen fra ingensteds

Mens cPanel fik patches ud, kæmpede Linux-kernel-folket med DirtyFrag. Offentliggjort 7. maj handler det om lokal privilege escalation – til stede siden 2017. Udnyttelsen kom uden patch.

Enhver almindelig bruger på serveren kunne potentielt blive root. Ikke kun admin-konti. Store distroer fik patches ud den 8. maj, men kernel-opdateringer kræver genstart. Downtime på en produktionsserver med flere brugere? Tænk dig om.

Hvad du skal gøre – nu

Prioritet 1: Tjek cPanel-status April-hullet (CVE-2026-41940) er udnyttet i uger. Patch nu – det er ikke valgfrit. Men tjek logs for mistænkelig aktivitet, filer for ændringer og overvej en fuld audit, hvis du er i tvivl.

Prioritet 2: Planlæg kernel-opdatering DirtyFrag kræver lokal adgang, så risikoen er lavere end remote-huller. Alligevel kritisk. Vælg et vedligeholdelsesvindue med downtime.

Prioritet 3: Test før udrulning Tryk ikke bare update. Test i staging først. Et sikkerhedspatch har brudt mere, end det har reddet. Bedre en times test end timer med fejlretning.

Tænk over disclosure-tidspunktet

cPanels taktik – annoncering uden detaljer, så alt på én gang – var smart. Admins fik tid til at forberede uden at give angribere vejledning. Sammenlign med april, hvor angreb allerede rullede. Timing er alt.

Fremtiden: Hvorfor det betyder noget

De to huller viser, at sikkerhed er lag på lag. Patch ikke kun appen eller kernel – begge skal følges. DirtyFrag, gemt i år, minder os om: ingen "opdater og glem". Tusindvis af komponenter kræver konstant vedligehold.

Gør patching lettere

Kører du hosting hos NameOcean eller egen cPanel? Her er tips:

• Automatiser smart. Kernel-updates kan køre auto, hvis apps tåler reboot.
• Overvåg CVEs. Værktøjer flagger nye trusler i din stack.
• Test alt i staging. Hver gang.
• Log patches.Dato og detaljer bliver guld ved hændelser.

8. maj var ikke en engangsting. Flere kritiske huller på forskellige niveauer er normen. Overlever du? Behandl patching som dagligdagen, ikke kvartalsopgave.

Hold øje med serveren.