День, когда серверу срочно понадобились две обновы

Представьте: ваш сервер на cPanel. Утро, а в почте уже два критических сигнала по безопасности. Для одного есть патч — ставьте сразу. Для второго — тишина, патча нет, а эксплойт уже в сети. Это 8 мая. Напоминание: уязвимости не ждут вашего графика.

cPanel и три уязвимости в один день

cPanel на этот раз поступили умно. Не то что с апрельским байпасом аутентификации (CVE-2026-41940), где эксплойты уже летали. Здесь они заранее объявили о патчах, но без деталей. А потом выложили и фиксы, и инфу одновременно.

Прилетели три CVE: CVE-2026-29201, CVE-2026-29202 и CVE-2026-29203. Разберём по полочкам, почему они опасны.

CVE-2026-29201 (CVSS 4.3 — средняя опасность)
Проблема в проверке ввода для LOADFEATUREFILE в adminbin. Злоумышленник с валидным аккаунтом на сервере кидает относительный путь — и любой файл становится доступен всем. Аутентификация нужна, но если враг внутри, он вытащит конфиги, бэкапы или что похуже.

Общая картина
Все три уязвимости требуют доступа с аккаунтом. Звучит как защита, но вот засада: если сервер погорел на 64-дневном окне эксплуатации апрельской дыры, то "гости" уже могут сидеть тихо.

DirtyFrag: ядерная бомба в Linux с 2017 года

Пока cPanel заливали патчами, в мире Linux-ядра всплыла DirtyFrag — 7 мая. Локальный эскалайшн привилегий, который затаился с 2017-го. Подумайте о сроках.

Эксплойт выложили публично, патча — ноль. Любой непривилегированный юзер на сервере мог бы поднять права до root. Не сервис, не админ — любой.

Хорошие новости: крупные дистрибутивы начали катить патчи в stable 8 мая. Но обновка ядра — это ребут и простой. На продакшене с кучей тенантов или сервисов такое не на авось.

Что делать прямо сейчас

Приоритет 1: Проверьте cPanel на патчи

Апрельский байпас (CVE-2026-41940) эксплуатировали месяцами. Не обновились? Срочно. Но патч закроет дверь, а если вошли раньше — проверьте:

• Логи доступа на подозрительное.
• Критичные файлы на изменения.
• Если сомневаетесь — полный аудит безопасности.

Приоритет 2: Готовьте обнову ядра

DirtyFrag серьёзно, хоть и локально. Риск ниже, чем удалёнка, но критично. Планируйте в maintenance window. Да, простой, но лучше, чем открытая дыра.

Приоритет 3: Тестируйте патчи, а не слепо ставьте

Кликнул "обновить" и забыл? Не надо. Прогоняйте в staging. Патчи иногда ломают другое. Час теста — лучше трёх часов гашения пожара на проде.

Философия раскрытия уязвимостей

Подход cPanel на этот раз — огонь. Объявили заранее без деталей, потом всё разом. Админам время на подготовку, хакерам — без карты. В отличие от CVE-2026-41940 с нулевым предупреждением и активными атаками. Тайминг — ключ.

Почему это важно дальше 8 мая

Две дыры враз показывают: безопасность — слои. Папали cPanel — не расслабляйтесь. Обновили ядро — тоже не финиш. Всё взаимосвязано.

DirtyFrag, спящий годами, учит: безопасность — вечный процесс. Система из тысяч компонентов, у каждого свой цикл обнов.

Как упростить патчинг

Если хостите на NameOcean или рулите cPanel сами, вот подсказки для нормального патч-менеджмента:

• Автоматизируйте. Ядро на большинстве систем можно, если аппы терпят ребуты.
• Мониторьте CVE под ваш стек. Инструменты подскажут заранее.
• Тестируйте в staging. Всегда. Без вариантов.
• Ведите записи — что, когда патчили. В беде спасёт.

8 мая — не случайность, это норма. Много дыр, разный приоритет, timelines. Выживут те, кто патчит непрерывно, а не раз в квартал.

Будьте начеку.