Dzień, gdy serwer domagał się dwóch pilnych patchy

Wyobraź sobie poranek. Masz serwer z cPanel. Nagle dwa poważne zagrożenia bezpieczeństwa puka do drzwi. Jedno ma łatkę gotową do wdrożenia. Drugie? Exploit już krąży w sieci, a poprawki brak. Tak wyglądał 8 maja. Bezpieczeństwo nie pyta o Twój grafik.

Trzy dziury w cPanel – ujawnione tego samego dnia

cPanel tym razem zagrał mądrze. W przeciwieństwie do kwietniowego bypassa autentykacji (CVE-2026-41940), gdzie exploit działał na pełnych obrotach, tu ogłosili łatki z wyprzedzeniem. Bez szczegółów. A potem wypuścili poprawki razem z opisem luk.

Trzy CVE: CVE-2026-29201, CVE-2026-29202 i CVE-2026-29203. Co w nich groźnego?

CVE-2026-29201 (CVSS 4.3 – średnie zagrożenie)
Błąd walidacji danych w adminbin LOADFEATUREFILE. Atakujący z kontem na serwerze podaje relatywną ścieżkę. Robi pliki dostępne dla wszystkich. Potrzebne uwierzytelnienie, ale jak ktoś jest w środku, wyciągnie konfiguracje, backupy czy dane wrażliwe.

Co to oznacza szerzej?
Wszystkie trzy luki wymagają zalogowania. Atakujący musi mieć dostęp. Brzmi bezpiecznie? Nie do końca. Jeśli serwer padł ofiarą kwietniowej dziury eksploatowanej przez 64 dni, wróg może siedzieć cicho z pełnym dostępem.

DirtyFrag: Kernelowa bomba z 2017 roku

cPanel łatali swoje, a kernel Linux zmagał się z DirtyFrag. Ujawnione 7 maja. Lokalna eskalacja przywilejów czająca się od 2017. Exploit publiczny, łatki? Brak w dniu ogłoszenia.

Każdy użytkownik bez przywilejów mógł stać się rootem. Nie konto usługi. Nie admin. Dowolny user.

Na szczęście dystrybucje Linux szybko zareagowały. Patche w repozytoriach 8 maja. Ale kernel update to reboot. A reboot to przestój. Na produkcji z wieloma klientami? Decyzja nielekka.

Co zrobić tu i teraz

Priorytet 1: Sprawdź patche cPanel

Kwiecieniowy bypass (CVE-2026-41940) atakowany od tygodni. Nie załatwiłeś? Zrób to natychmiast. Ale trudniejsza sprawa: jeśli ktoś wszedł w te 64 dni, ma już furtkę. Działaj:

• Przejrzyj logi dostępów pod kątem podejrzanych wpaków.
• Sprawdź, czy kluczowe pliki nie ruszone.
• Rozważ pełny audit bezpieczeństwa, jeśli nie jesteś pewien.

Priorytet 2: Zaplanuj update kernela

DirtyFrag groźny, ale lokalny. Ryzyko mniejsze niż zdalny atak. Umów patch na okno serwisowe. Przestój boli, ale otwarta luka boli bardziej.

Priorytet 3: Testuj, nie tylko wdrażaj

Nie klikaj update i zapomnij. Przetestuj w stagingu. Widziałem, jak patche psują inne rzeczy. Godzina testów lepsza niż trzy na fixie produkcji.

Filozofia ujawniania – cPanel na plus

Tym razem cPanel dał adminom czas na przygotowania bez podania amunicji hakerom. Inteligentne. Porównaj z CVE-2026-41940 – zero ostrzeżenia, atak już w toku. Timing ujawniania to klucz.

Dlaczego to ważne po 8 maja

Dwa zagrożenia naraz pokazują: bezpieczeństwo to warstwy. Patchujesz appkę? Kernel też sprawdź. Żadna warstwa nie jest nieistotna.

Luki jak DirtyFrag – ukryte latami – uczą: to proces ciągły. Tysiące komponentów, każdy ze swoim cyklem. Nie ma "załataliśy i finito".

Jak ułatwić sobie patching

Używasz NameOcean lub własnego cPanel? Czas na lepsze nawyki:

• Automatyzuj. Kernel na wielu systemach da się update'ować bez dramatu, jeśli appki znoszą reboot.
• Śledź CVE dla swojego stacku. Narzędzia alarmują o nowych.
• Testuj w stagingu. Zawsze.
• Dokumentuj patche – data, co, kiedy. W kryzysie to skarb.

8 maja to nie jednorazówka. To norma: wiele luk, różne poziomy, różne terminy. Wygrywa ten, kto patching traktuje jak codzienność, nie kwartalny obowiązek.

Bądź czujny.