Dotychczas Kernel Security Checker odpowiadał na jedno pytanie: jak dobrze zahardenowany jest mój kernel? Analizował konfigurację (kconfig, sysctl, cmdline) i pokazywał, które opcje warto włączyć.

To jednak nie mówi wszystkiego. Dobrze skonfigurowany kernel w starej wersji nadal może mieć dziury, na które od dawna krąży publiczny exploit. Dlatego doszła druga sekcja: Podatności.

Co robi nowa zakładka CVE

Wpisujesz wersję swojego jądra (to, co zwraca uname -r), a narzędzie pokazuje listę znanych publicznych exploitów dopasowanych do tej wersji. Dla każdego trafienia dostajesz:

  • numer CVE z linkiem do NVD,
  • krótki opis (np. double-free in nf_tables),
  • linki do analizy, kodu exploita i wpisu w Exploit-DB, jeśli istnieją.

Czyli zamiast „jak mnie zahardenować" odpowiada na pytanie „co już jest publicznie złamane dla mojej wersji".

Jak użyć

Sprawdź wersję kernela:

uname -r

Dostaniesz coś w stylu 5.15.0-91-generic albo 6.6.8. Wklejasz to do zakładki CVE w Kernel Security Checker i klikasz sprawdź.

Przykładowo dla 5.15.0-91-generic narzędzie pokaże m.in. CopyFail (CVE-2026-31431), double-free w nf_tables (CVE-2024-1086), OverlayFS suid smuggle (CVE-2023-0386) i kilka kolejnych, posortowanych od najnowszych.

Ważne: to dopasowanie po wersji, nie skan

Jedna rzecz, o której trzeba pamiętać. Narzędzie porównuje numer wersji z bazą znanych podatności. Nie sprawdza, czy łatka faktycznie jest w Twoim kernelu.

Dystrybucje backportują poprawki bezpieczeństwa, nie podbijając numeru wersji. Ubuntu czy RHEL potrafi mieć kernel z numerem sprzed dwóch lat, ale z setkami załatanych CVE. Dlatego:

  • trafienie = „dla tej wersji bazowej istnieje publiczny exploit"; to sygnał, żeby sprawdzić, czy Twoja dystrybucja ma już patch,
  • brak trafień = nie gwarancja bezpieczeństwa, tylko brak znanych pozycji w bazie.

Traktuj to jako szybki wskaźnik ryzyka, a nie wyrok. Do twardej oceny i tak trzeba zajrzeć w changelog kernela dystrybucji albo w CVE konkretnego pakietu.

Więcej o podatnościach z bazy: CopyFail: 9 lat ukrytej eskalacji uprawnień | Dirty COW, Dirty Pipe, CopyFail: trzy sposoby na roota

Pełna analiza konfiguracji: Kernel Security Checker