Kritické chyby v jádře Linuxu: co má dělat běžný uživatel

NÁVODY > KATEGORIE > Firewall a zabezpečení Linuxu

22.05.2026

V médiích se občas objeví zpráva o vážné bezpečnostní chybě v jádře Linuxu. Názvy jako Copy Fail, Dirty Frag, Fragnesia nebo DirtyDecrypt mohou působit děsivě, zvlášť když se mluví o získání práv správce systému. Znamená to ale, že se má běžný domácí uživatel Linuxu bát? Ve většině případů ne. Důležité je rozumět tomu, co taková chyba znamená, jak se prakticky chránit a proč je nejdůležitější používat aktualizovaný systém.

Ilustrační obrázek k článku o kritických chybách v jádře Linuxu s notebookem, symbolem zabezpečení a názvy zranitelností Copy Fail, Dirty Frag, Fragnesia a DirtyDecrypt.

Rychlá navigace:

Netechnicky řečeno

Představte si Linux jako dobře zabezpečený dům.

Běžný uživatel má klíče jen od svého pokoje. Může pracovat se svými dokumenty, obrázky, hudbou nebo staženými soubory. Správce systému, tedy root, má klíče od celého domu. Může měnit systém, instalovat důležité součásti, zasahovat do nastavení a ovládat celý počítač.

Chyby typu Copy Fail, Dirty Frag, Fragnesia nebo DirtyDecrypt neznamenají, že někdo z internetu automaticky otevře celý dům zvenčí. Znamenají něco jiného: pokud se škodlivému programu podaří dostat dovnitř a spustit se jako běžný uživatel, může za určitých okolností zneužít chybu v jádře Linuxu a získat klíče správce.

Proto je situace vážná, ale pro běžného uživatele z ní nevyplývá panika. Vyplývá z ní hlavně toto: aktualizovat systém, po aktualizaci restartovat počítač a nespouštět neznámé programy, balíčky ani příkazy z internetu.

Co je jádro Linuxu

Jádro Linuxu je základní část operačního systému. Stará se o komunikaci mezi programy a hardwarem, správu paměti, procesů, disků, síťových zařízení a oprávnění.

Když běžný program potřebuje pracovat se souborem, pamětí, sítí nebo zařízením, nekomunikuje s hardwarem přímo. Požádá o to jádro systému. Jádro pak rozhodne, zda je požadavek povolený, bezpečný a proveditelný.

Proto jsou chyby v jádře důležité. Pokud se chyba nachází v běžné aplikaci, bývá obvykle omezená na daný program. Pokud se chyba nachází v jádře, může mít dopad na celý systém.

Co znamená „získat roota“

V Linuxu je root správce systému s nejvyšším oprávněním. Má možnost měnit prakticky cokoliv v systému.

Když bezpečnostní zpráva říká, že chyba umožňuje „získat roota“, znamená to, že program spuštěný s nižšími právy může zneužít chybu a získat vyšší oprávnění, než mu původně patřila.

Tomu se říká lokální zvýšení oprávnění.

Slovo „lokální“ je důležité. Neznamená to automaticky, že někdo z internetu bez dalšího převezme váš počítač. Znamená to, že útočník už obvykle musí mít nějakou možnost spustit kód na daném systému. Například přes škodlivý program, napadený účet, škodlivý skript, škodlivý balíček nebo jinou předchozí chybu.

Copy Fail, Dirty Frag, Fragnesia a DirtyDecrypt stručně

V poslední době se objevilo více podobných zranitelností linuxového jádra. Mají různé názvy, různé technické detaily a týkají se různých částí jádra, ale pro běžného uživatele je jejich praktický význam podobný.

Copy Fail

Copy Fail je zranitelnost linuxového jádra označená jako CVE-2026-31431. CERT-EU ji popisuje jako lokální zvýšení oprávnění v části jádra související s kryptografickým rozhraním algif_aead / AF_ALG; veřejně byl dostupný i ukázkový exploit a doporučením bylo instalovat opravy jádra, jakmile budou dostupné od distribuce.

Zjednodušeně řečeno: běžný uživatel nebo program s nízkými právy mohl za určitých okolností zasáhnout do dat v paměti tak, že se dostal k oprávnění správce.

Dirty Frag

Dirty Frag označuje skupinu zranitelností v síťových částech linuxového jádra. Red Hat uvádí související CVE-2026-43284 a CVE-2026-43500, přičemž se jedná o problémy v oblastech IPsec ESP/XFRM a RxRPC. Tyto části se používají hlavně u síťové komunikace, VPN, IPsec tunelů nebo některých pokročilejších síťových funkcí.

Pro domácího uživatele je důležité hlavně to, že nejde o běžné „napadení přes internet jedním kliknutím“. Opět jde především o možnost, jak z nízkých oprávnění získat vyšší oprávnění v systému.

Fragnesia

Fragnesia je další příbuzná zranitelnost označená jako CVE-2026-46300. Red Hat ji řadí do stejného širšího okruhu jako Dirty Frag a uvádí ji v souvislosti s částí XFRM ESP-in-TCP.

Pro běžného čtenáře není nutné znát všechny technické podrobnosti. Důležité je vědět, že jde o další příklad stejného typu problému: chyba v jádře může umožnit lokálnímu uživateli získat vyšší oprávnění.

DirtyDecrypt

DirtyDecrypt je novější zranitelnost označovaná v souvislosti s CVE-2026-31635. Český Root.cz popisuje problém ve funkci rxgk_decrypt_skb() a upozorňuje, že u zranitelných systémů může chyba umožnit získání práv správce. Doporučuje zkontrolovat, zda je v konfiguraci jádra povolena volba CONFIG_RXGK, a instalovat dostupné aktualizace.

Ubuntu má k CVE-2026-31635 vlastní bezpečnostní záznam a uvádí, že se problém týká části rxrpc / rxgk, kde byla opravena chyba při kontrole délky autentizačních dat.

Poznámka pro uživatele Zorin OS / Ubuntu 24.04 LTS: u některých běžných větví jádra Ubuntu uvádí stav „Not in release“ nebo „Not affected“, ale u větve linux-hwe-6.17 pro Ubuntu 24.04 LTS byl v době kontroly uveden stav „Vulnerable“. Pokud tedy používáte jádro řady 6.17, je vhodné hlídat aktualizace jádra a po jejich instalaci počítač restartovat.

Co mají tyto chyby společné

Tyto zranitelnosti se liší v detailech, ale mají několik společných vlastností.

Za prvé: týkají se jádra Linuxu.

Za druhé: mohou vést k získání práv správce systému.

Za třetí: jde hlavně o lokální zvýšení oprávnění. Huntress k chybám Copy Fail, Dirty Frag a Fragnesia uvádí, že samy o sobě neposkytují vzdálené spuštění kódu; útočník už musí mít nějaký přístup nebo možnost spustit kód na daném systému.

Za čtvrté: nejlepší dlouhodobé řešení je aktualizace jádra z oficiálních zdrojů distribuce. Huntress výslovně uvádí, že instalace opraveného jádra je nejúčinnější dlouhodobá oprava těchto problémů.

Má se běžný uživatel Linuxu bát?

Ne. Ale má být opatrný.

Bezpečný přístup není panika. Bezpečný přístup je rozumné chování:

používat podporovanou verzi Linuxové distribuce,
pravidelně instalovat aktualizace,
po aktualizaci jádra restartovat počítač,
neinstalovat neznámé balíčky z internetu,
nespouštět náhodné skripty,
nepoužívat příkazy se sudo, pokud nevíte, co dělají,
zálohovat důležitá data.

Linux není nezranitelný systém. Žádný běžný operační systém není nezranitelný. Rozdíl je v tom, zda systém dostává opravy, zda se aktualizace dají snadno nainstalovat a zda uživatel ví, co má při podobné zprávě udělat.

Co má udělat běžný uživatel Zorin OS, Ubuntu, Linux Mint nebo Debianu

Pro běžného domácího uživatele je hlavní postup jednoduchý.

1. Spusťte Správce aktualizací

V grafickém prostředí otevřete nástroj pro aktualizace systému a nainstalujte všechny dostupné aktualizace.

U distribucí jako Zorin OS, Ubuntu nebo Linux Mint je to pro začátečníka nejjednodušší a nejbezpečnější cesta.

2. Po aktualizaci restartujte počítač

Toto je velmi důležité.

Aktualizace jádra se neprojeví plně jen tím, že se balíček stáhne a nainstaluje. Počítač musí po aktualizaci naběhnout do nové verze jádra.

Pokud aktualizujete jádro, ale počítač nerestartujete, může systém stále běžet na starší zranitelné verzi.

3. Neinstalujte neznámé opravy z internetu

Pokud se objeví bezpečnostní chyba, nehledejte „rychlou opravu“ na náhodných fórech, sociálních sítích nebo v neznámých skriptech.

Bezpečná oprava má přijít z oficiálních aktualizací vaší distribuce.

4. Buďte opatrní u neznámých programů

U těchto typů chyb je důležité, aby se útočník nejprve dostal k možnosti spustit nějaký kód ve vašem systému.

Proto má smysl být opatrný hlavně u těchto věcí:

neznámé .deb balíčky,
náhodné .AppImage soubory,
skripty stažené z internetu,
příkazy zkopírované z diskuse bez porozumění,
programy z neověřených zdrojů.

Volitelná kontrola pro pokročilejší uživatele

Běžný začátečník tuto část dělat nemusí. Je určena spíše pro uživatele, kteří chtějí zkontrolovat, jaké jádro používají a zda je v konfiguraci jádra zapnutá některá související volba.

Zjištění aktuální verze jádra:

bash


						uname -r

Kontrola volby CONFIG_RXGK u aktuálně spuštěného jádra:

bash


						grep RXGK /boot/config-$(uname -r)

Pokud se zobrazí například:

# CONFIG_RXGK is not set

znamená to, že tato konkrétní volba není v aktuálním jádře zapnutá.

Pokud se zobrazí:

CONFIG_RXGK=y

nebo:

CONFIG_RXGK=m

Pokud se zobrazí CONFIG_RXGK=y, nebo CONFIG_RXGK=m, neznamená to, že je počítač automaticky napadený. Znamená to pouze, že daná část jádra je zapnutá, a proto má smysl nainstalovat opravu jádra hned, jakmile ji distribuce nabídne. Po instalaci aktualizace jádra je nutné počítač restartovat, aby systém skutečně běžel na nové opravené verzi jádra.

Pro začátečníka ale platí: pokud výstupu nerozumíte, není nutné podle něj ručně zasahovat do systému. Důležitější je instalovat aktualizace z oficiálních zdrojů.

Má běžný uživatel něco vypínat?

Ve většině případů ne.

U některých zranitelností existují dočasná opatření, například zablokování určitých modulů jádra. Jenže to může mít vedlejší následky. Red Hat například upozorňuje, že blokování modulů esp4 a esp6 může rozbít funkčnost IPsec, což se týká některých VPN a síťových tunelů.

Proto takové zásahy nejsou vhodné jako obecná rada pro začátečníky.

Pro domácího uživatele je bezpečnější pravidlo:

Pokud přesně nevíte, co daný modul dělá a proč jej vypínáte, nevypínejte jej ručně. Aktualizujte systém a restartujte počítač.

Co nedělat

Nedoporučuje se:

panikařit,
odpojovat počítač od internetu jen kvůli titulku článku,
vypínat náhodné části systému,
instalovat neověřené bezpečnostní skripty,
kompilovat neznámé jádro podle návodu z internetu,
vracet se kvůli jedné zprávě zpět k Windows,
ignorovat aktualizace.

Je důležité si uvědomit, že bezpečnostní chyby se objevují ve všech operačních systémech. Rozhodující je, zda se opravují a zda uživatel aktualizace opravdu instaluje.

Je Linux kvůli těmto chybám špatná volba?

Ne.

Tyto chyby ukazují, že Linux není kouzelně nezranitelný. Zároveň ale ukazují, že Linux má otevřený vývoj, chyby se veřejně popisují, opravují a distribuce postupně vydávají aktualizovaná jádra.

Pro domácího uživatele je Linux stále velmi dobrá a bezpečná volba, pokud dodržuje základní pravidla:

používá podporovanou distribuci,
pravidelně aktualizuje,
restartuje po aktualizaci jádra,
instaluje software z důvěryhodných zdrojů,
nespouští neznámé skripty,
zálohuje důležitá data.

Bezpečný systém není ten, který nikdy nemá chybu. Bezpečný systém je ten, který dostává opravy, umožňuje je snadno nainstalovat a uživatel ví, jak se má při podobné zprávě zachovat.

Krátké doporučení na závěr

Pokud používáte Linux jako běžný domácí uživatel, kvůli zprávám o chybách Copy Fail, Dirty Frag, Fragnesia nebo DirtyDecrypt nemusíte panikařit.

Udělejte hlavně toto:

Nainstalujte dostupné aktualizace systému.
Po aktualizaci restartujte počítač.
Nespouštějte neznámé programy, skripty ani balíčky z internetu.
Používejte software z důvěryhodných zdrojů.
Pokud něčemu nerozumíte, neprovádějte ruční zásahy do jádra nebo modulů systému.

Pro běžného uživatele je nejdůležitější klidný a správný postup. Ne strach.

Zdroje

Root.cz: DirtyDecrypt: chyba umožňuje získat roota, kód exploitu je veřejný.

https://www.root.cz/zpravicky/dirtydecrypt-chyba-umoznuje-ziskat-roota-kod-exploitu-je-verejny/

Ubuntu Security: CVE-2026-31635.

https://ubuntu.com/security/CVE-2026-31635

CERT-EU: High Vulnerability in the Linux Kernel („Copy Fail“).

https://cert.europa.eu/publications/security-advisories/2026-005/

Red Hat: RHSB-2026-003, Dirty Frag / Fragnesia.

https://access.redhat.com/security/vulnerabilities/RHSB-2026-003

Huntress: Panic at the Distro – CopyFail, Dirty Frag and Fragnesia.

https://www.huntress.com/blog/linux-kernel-flaws-copyfail-dirty-frag-fragnesia

CISA: zařazení CVE-2026-31431 do katalogu známých zneužívaných zranitelností.

https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalog

PODPOŘTE OTEVŘENÉ NÁVODY A DALŠÍ ROZVOJ WEBU LINUX PRO DOMÁCNOST:

Věřím v otevřené znalosti a v to, že kvalitní návody mají být dostupné bez reklam, rušivých prvků a zbytečného trackingu. Každý článek na webu Linux pro domácnost vzniká na základě rešerše, praktického testování na reálném nebo virtuálním počítači, ověřování v různých linuxových distribucích a pečlivého zpracování krok za krokem. Často jde o práci na několik hodin, někdy i několik dnů.

Pokud Vám některý návod pomohl, ušetřil čas nebo usnadnil řešení problému, budu rád za dobrovolnou finanční podporu. A pokud se Vám myšlenka tohoto webu líbí a chcete jeho tvorbu podporovat pravidelně, podívejte se prosím na stránku:

„SPONZOŘI webu LINUX pro DOMÁCNOST“.