شركة SUSE تطلق تصحيحاً مباشراً وعاجلاً للنواة لمعالجة ثغرة خطيرة في بروتوكول NFSv4

طرحت شركة SUSE تحديثاً أمنياً عاجلاً يُعرف باسم تحديث نواة SUSE Linux Enterprise لمعالجة ثغرات أمنية متعددة وعالية الخطورة، أبرزها ثغرة خطيرة تؤدي إلى تجاوز سعة المخزن المؤقت (Heap Overflow). يُعد هذا التصحيح المباشر (Live Patch)، الذي يحمل المعرّف الرسمي SUSE-SU-2026:2610-1، خطوة بالغة الأهمية لمسؤولي الأنظمة وفرق هندسة موثوقية المواقع (SRE) الذين يديرون بنى تحتية تعتمد على إصدار النواة 6.4.0-150600.23.50. ومن خلال تطبيق هذا التحديث، يمكن للمؤسسات الحد فوراً من مخاطر تنفيذ التعليمات البرمجية عن بُعد (RCE) وعدم استقرار النظام، دون الحاجة إلى إعادة تشغيل الخوادم وإيقاف العمل.

ويُبرز التقرير الأمني وجود سبع ثغرات وأخطاء برمجية منفصلة تؤثر على أنظمة تصفية الشبكات، وأنظمة الملفات، وجدولة حزم البيانات. ونظراً لأن هذه الثغرات تكمن في عمق بروتوكولات الشبكة ومشاركة الملفات الأساسية في نواة لينكس (Linux Kernel)، فإن الأنظمة غير المحدّثة تبقى عرضة بشكل كبير للاستغلال الموجه.

يعالج تحديث نواة SUSE Linux Enterprise المشكلات الأمنية ومشكلات الاستقرار التالية، مما يضمن معالجة أكثر أماناً للبيانات عبر شبكات المؤسسات:

• ثغرة CVE-2026-23278: تُصلح خللاً في مكوّن تصفية الشبكة (netfilter: nf_tables)، مما يضمن قيام النظام دائماً بفحص جميع العناصر الشاملة المعلقة لمنع تجاوز القواعد الأمنية.
• ثغرة CVE-2026-31402: تعالج ثغرة حرجة لتجاوز سعة المخزن المؤقت في ذاكرة التخزين المؤقت لإعادة تشغيل القفل في بروتوكول (NFSv4.0 LOCK)، والتي قد تسمح للمهاجمين بإتلاف الذاكرة.
• ثغرة CVE-2026-31504: تسد ثغرة استخدام الذاكرة بعد تحريرها (UAF) في دالة (packet_release()) والتي يتم تحفيزها عبر حالة تسابق في عملية (NETDEV_UP).
• ثغرة CVE-2026-31694: تمنع نظام الملفات (fuse) من قبول إدخالات أدلة كبيرة الحجم (dirents) في ذاكرة التخزين المؤقت للصفحات.
• ثغرة CVE-2026-43503: تطبق الإصلاحات النهائية المتعلقة باستقرار عملية إدارة الذاكرة (dirty.frag).
• ثغرة CVE-2026-46323: تضمن عدم قيام نظام الشبكة (net: gro) بدمج المخازن المؤقتة للمقابس (zcopy skbs) بشكل غير صحيح.
• إصلاح غير مرتبط بثغرة CVE: يصحح مشكلة في جدولة الشبكة (net/sched) تتعلق بعملية النسخ عند الكتابة الجزئية (COW) في أداة (pedit) والتي كانت تؤدي بشكل خاطئ إلى ذاكرة التخزين المؤقت للصفحات.

نظراً لأن هذا التحديث عبارة عن تصحيح مباشر (Live Patch)، يمكن لمسؤولي الأنظمة تأمين بيئاتهم دون الحاجة إلى جدولة وقت التوقف (Downtime). لتثبيت هذا التحديث من شركة SUSE باستخدام مدير الحزم القياسي، نفّذ الأوامر التالية في موجه الأوامر (Terminal):

sudo zypper refresh
sudo zypper patch

بعد اكتمال عملية التصحيح، تحقق من تطبيق التصحيح المباشر بنجاح على إصدار النواة 6.4.0-150600.23.50 باستخدام أمر klp -v.

يُعد الجانب الأكثر إثارة للقلق في تحديث نواة SUSE Linux Enterprise هو التباين الكبير في تقييم خطورة ثغرة CVE-2026-31402. فبينما تقيّم شركة SUSE داخلياً ثغرة تجاوز سعة المخزن المؤقت في بروتوكول NFSv4.0 بدرجة 8.2 (عالية) على مقياس CVSS 3.1، تمنحها قاعدة بيانات الثغرات الوطنية (NVD) الحد الأقصى للتقييم بدرجة 9.8 (حرجة). وغالباً ما يحدث هذا التباين لأن التكوينات الخاصة بالنواة لدى الشركة المورّدة قد تخفف من بعض نواقل الهجوم النظرية، ولكن يجب على مسؤولي الأنظمة دائماً التعامل مع تقييم 9.8 من NVD كحالة تستدعي "التصحيح الفوري".

إن تقديم شركة SUSE لهذا الإصلاح عبر تصحيح مباشر (Live Patch) يمثل ميزة تشغيلية هائلة. ففي الماضي، كان تصحيح بروتوكول أساسي لمشاركة الملفات مثل NFS يتطلب إيقاف قواعد البيانات الحساسة ومصفوفات التخزين عن العمل. ومن خلال السماح للمؤسسات بتبديل الأكواد البرمجية (Code) الضعيفة في الذاكرة أثناء التشغيل، تثبت شركة SUSE أن البنية التحتية الحديثة لأنظمة لينكس قادرة على التعامل مع التدخلات الأمنية الحرجة دون التضحية بالتوافر العالي للخدمات.