# DirtyFrag, Copyfail, Fragnesia. Proč Logmanager neohrožují? V uplynulých týdnech vzbudilo v bezpečnostní komunitě značnou pozornost několik zranitelností linuxového jádra, konkrétně **DirtyFrag, Copyfail a Fragnesia**. Tyto hrozby jsme tedy prověřili vůči **Logmanager 3 a Logmanager 4** a můžeme potvrdit, že žádná z nich nepředstavuje pro naši platformu hrozbu. ## Co jsou DirtyFrag, Copyfail a Fragnesia? DirtyFrag, Copyfail a Fragnesia představují zranitelnosti typu **Local Privilege Escalation (LPE)** v linuxovém jádře. V nejhorším případě mohou útočníkovi, který už má na k danému systému nějaký přístup (například prostřednictvím lokálního shell účtu nebo možnosti získat přístup mimo daný container) umožnit získat plnou kontrolu nad hostitelským operačním systémem. Klíčová je zde formulace **„už má nějaký přístup“**. Nejde o zranitelnosti, které by bylo možné zneužít vzdáleně přes síť externím útočníkem. Útočník musí být nejprve legitimním lokálním uživatelem nebo již dříve kompromitovat proces běžící v systému. ## Proč se tyto zranitelnosti Logmanageru netýkají Logmanager nemá lokální uživatelské účty Logmanager je bezpečnostní appliance, nikoliv univerzální server pro obecné použití. V systému neexistují žádné koncové uživatelské účty. Zákazníci nemají SSH přístup, operátoři nemají k dispozici interaktivní shell mimo definované administrační rozhraní a systém neobsahuje žádné sdílené ani guest účty. Model útoku, na kterém tyto zranitelnosti stojí, tedy přítomnost neprivilegovaného lokálního uživatele, ve standardním nasazení Logmanageru jednoduše neexistuje. Protože první krok každého útočného řetězce popsaného v těchto CVE není v prostředí Logmanageru realizovatelný, zbytek řetězce je z pohledu exploatace irelevantní. ## Bezpečnost u nás nekončí u „to bude stačit“ Přestože nepředpokládáme existenci lokálního útočníka, věříme, že i částečná mitigace má smysl. Bezpečnost by měla fungovat ve vrstvách a i zranitelnosti, u nichž je pravděpodobnost zneužití nízká, stojí za řešení. Náš přístup: **Blacklistování kernel modulů** Pokud zranitelnost vyžaduje dynamické načtení konkrétního kernel modulu, můžeme jeho načtení zcela zablokovat. Jde o jeden z nástrojů, které využíváme v situacích, kdy ještě není dostupná kernelová oprava nebo není dostatečná. V tomto případě je již oprava dostupná, a proto jsme se rozhodli příslušný modul v tuto chvíli neblokovat. Do budoucna však tato možnost zůstává jednou z možností mitigace. **Nepovolujeme to, co nepoužíváme** Logmanager na samotné appliance nevyužívá IPsec tunelování. Kernelové subsystémy potřebné ke zneužití DirtyFrag a Fragnesia se proto nikdy neaktivují. **Omezení capabilities kontejnerů** Interní služby běží v kontejnerech s přísně omezenou sadou oprávnění. Zvýšené capabilities potřebné pro interakci s dotčenými kernelovými subsystémy nejsou žádnému kontejneru standardně přiděleny. **Bezpečnostní aktualizace operačního systému** Průběžně sledujeme bezpečnostní kanály našeho dodavatele operačního systému a kernelové opravy zahrnujeme do jednotlivých releasů Logmanageru. Oprava na úrovni jádra pro Copyfail (CVE-2026-31431) je od našeho dodavatele OS již dostupná a bude součástí nadcházejících verzí obou produktových řad. ## Shrnutí **Zranitelnost****CVE****Logmanager 3****Logmanager 4**CopyfailCVE-2026-31431Nelze zneužít — architektonická opatření exploataci znemožňují; kernelová oprava bude součástí nadcházející verzeNelze zneužít — architektonická opatření exploataci znemožňují; kernelová oprava bude součástí nadcházející verzeDirtyFragCVE-2026-43284, CVE-2026-43500Nelze zneužít — zranitelné kernelové subsystémy nejsou aktivní; dotčená část kódu není součástí buildu jádraNelze zneužít — zranitelné kernelové subsystémy nejsou aktivníFragnesiaCVE-2026-31431Nelze zneužít — platí stejné podmínky jako u DirtyFrag Nelze zneužít — platí stejné podmínky jako u DirtyFragNáš tým průběžně sleduje relevantní upozornění na bezpečnostní hrozby a vyhodnocujeme jejich potenciální dopad na naši platformu. Pokud máte jakékoli dotazy, obraťte se na náš tým podpory na ****.