Il muro tra gli inquilini aveva una crepa
La promessa silenziosa di ogni server in cloud e di ogni server privato virtuale è la separazione. La vostra macchina e quella dello sconosciuto che paga lo stesso fornitore girano sullo stesso hardware fisico, e uno strato chiamato KVM, integrato nel kernel Linux, è ciò che le tiene divise. Januscape, registrato come CVE-2026-53359, è una crepa in quel muro. È una race condition nel modo in cui KVM gestisce le shadow page table, la mappa interna che traduce la memoria di una macchina ospite in memoria reale. Con il difetto l'host può associare una di quelle voci al frame ospite sbagliato, una confusione di numero di frame e di tipo che, guidata con cura, permette a una macchina virtuale ostile di spingere l'host a mappare la memoria scelta dall'attaccante. È una fuga da ospite a host: l'inquilino esce dalla sua scatola sul pavimento che tutti condividono.
A renderlo grave è la portata. Il difetto sta in codice comune ai processori Intel e AMD, quindi scatta con VMX ed EPT da un lato e SVM e NPT dall'altro. È stato introdotto nel 2010 ed è rimasto latente sedici anni, il che significa che quasi ogni kernel Linux pubblicato in quel periodo lo porta. È stato divulgato il 6 luglio sulla lista pubblica oss-security, corretto a monte il 16 giugno, e i kernel stabili corretti, le versioni 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 e 5.10.260, sono arrivati solo il 4 luglio.
Perché abbiamo corretto ora ha due risposte
Il pericolo insolito qui non è il difetto, è la forma del rimedio. Chiudere Januscape richiede due commit accoppiati a monte, non uno: la correzione dell'evasione che porta CVE-2026-53359 e una correzione companion di numero di frame che porta CVE-2026-46113. Applicando solo la prima, quella dal nome memorabile, la porta resta socchiusa. Un amministratore che ha letto l'avviso in evidenza, applicato quella singola patch e chiuso il ticket ha fatto la cosa ragionevole ed è ancora esposto. Ecco perché una frase di routine, l'abbiamo corretta, non risolve più la questione per questo difetto.
Per un titolare l'esposizione raramente è il proprio rack di server. È il fornitore sotto i vostri fornitori: l'host VPS che esegue il vostro sito, il cloud privato che esegue il vostro software gestionale, la piattaforma gestita che esegue i vostri dati. In Italia l'Agenzia per la Cybersicurezza Nazionale è il canale di notifica, e la NIS2 spinge la stessa aspettativa: voi restate responsabili della sicurezza dei servizi resi per vostro conto. Una fuga dall'hypervisor è proprio il tipo di guasto di infrastruttura condivisa per cui quelle regole sono state scritte, perché un host non patchato può disfare la separazione per cui mille clienti stavano pagando.
La domanda per il vostro fornitore di hosting questa settimana
Per la maggior parte dei titolari questo non è un compito di compilazione del kernel, è una domanda di acquisto posta con chiarezza. Ponete a chi esegue le vostre macchine virtuali, sia esso un host VPS, un team interno di cloud privato o un fornitore di piattaforma gestita, tre cose: se il kernel dell'host è ora su una versione stabile corretta o su una patch a caldo; se quella correzione include entrambi i commit, quello dell'evasione e il suo companion; e quando è stata applicata. Non esiste un interruttore di configurazione che lo renda sicuro. Un kernel patchato con riavvio, o una patch a caldo applicata senza, è l'unica risposta completa, e finché non è in atto ogni host multi-inquilino va trattato come raggiungibile da un vicino ostile.
Il cambiamento pratico è piccolo ma reale. L'inquilino accanto a voi, un nome che non conoscerete mai, questo mese è passato da preoccupazione astratta a riga del vostro modello di minaccia. I titolari che ne fanno una risposta scritta e concreta del fornitore, invece di una comoda supposizione, sono quelli che non staranno tirando a indovinare se questo difetto sarà mai concatenato in un'intrusione reale.
Da leggere ora: CitrixBleed torna, sfruttato in meno di un giorno | Un token falso apre ogni PC che lo strumento gestisce



