В ядре Linux выявлена первая брешь, связанная с использованием языка Rust. Хотя этот язык программирования считается значительно более защищённым по сравнению с C и C++, на которых основана основная часть ядра, его абсолютная надёжность оказалась под вопросом. Уязвимость оперативно исправили, однако она может стать не последней, поскольку доля кода на Rust в ядре продолжает расти с каждым обновлением.
В Linux обнаружена уязвимость CVE-2025-68260, возникшая из-за интеграции кода на языке Rust. Rust признаётся одним из наиболее безопасных языков, особенно в сравнении с C и C++, которые не обеспечивают корректного управления памятью, что часто приводит к появлению уязвимостей в ядре.
Тем не менее, CVE-2025-68260 стала первым случаем обнаружения "дыры" именно в той части кода Linux, которая написана на Rust. Она была найдена в подсистеме межпроцессного взаимодействия Binder, а обнаружил её лично Грег Кроа-Хартман (Greg Kroah-Hartman), американский разработчик, входящий в число ключевых создателей Linux.
Хартман известен, среди прочего, тем, что осенью 2024 года исключил из сообщества Linux более десяти российских разработчиков, вносивших значительный вклад в развитие ядра. Также именно он ответственен за добавление в ядро маловостребованного кода — в декабре 2025 года он включил в него стабильный драйвер для интерфейса GPIB, созданного полвека назад и практически утратившего актуальность.
При этом стоит отметить, что Хартман, хотя и является одним из ветеранов разработки Linux, не причисляется к так называемым "староверам". К этой группе относят тех, кто утверждает, что коду на Rust нет места в ядре Linux, и что следует использовать только C и C++. Сам Хартман ещё в 2019 году заявил, что не будет препятствовать включению в ядро фреймворка для создания драйверов на Rust.
Об уязвимости CVE-2025-68260 впервые сообщили 16 декабря 2025 года, а спустя два дня её устранили. К моменту публикации материала у неё уже был собственный идентификатор, однако уровень опасности по 10-балльной шкале ещё не успели присвоить.
Как отметил Хартман, эта брешь способна вызвать отказ всей системы, но он не уточнил, потребуется ли полная переустановка ОС или достаточно будет простой перезагрузки компьютера.
Важно подчеркнуть, что проблема затрагивает далеко не всех пользователей Linux. Подсистема Binder появилась в ядре версии 6.18, выпущенной 30 ноября 2025 года, поэтому более ранние сборки не подвержены уязвимости. Кроме того, брешь была устранена на этапе разработки ядра 6.19, так что его стабильная версия выйдет уже без этой проблемы.
Уязвимость CVE-2025-68260 оказалась довольно простой для исправления. Разработчикам потребовалось переписать всего несколько строк кода, и они оперативно выпустили необходимый патч для сборки ядра 6.18.1.
В своих комментариях Хартман подчеркнул, что использование Rust в ядре Linux — не панацея от сбоев и уязвимостей. Однако он был вынужден признать, что этот язык действительно помогает избежать множества потенциальных проблем с безопасностью.
Стоит отметить, что это первая и на данный момент единственная уязвимость в ядре Linux, обнаруженная в коде на Rust. Вполне вероятно, что в будущем их количество может существенно возрасти, однако для сравнения стоит взглянуть, сколько подобных изъянов было выявлено за последнее время в коде на С и С++. Их число составляет 159, что в 159 раз превышает текущий показатель для Rust.
Rust является относительно новым языком программирования. Языки С и С++ существуют с 1972 и 1982 годов соответственно, в то время как разработка Rust ведется с 2006 года.
Сторонники Rust практически сразу после его официального представления в 2012 году начали постепенно интегрировать код на этом языке в ядро Linux в качестве эксперимента. Активная стадия этого процесса стартовала в 2022 году, и спустя три года, в декабре 2025 года, эксперимент был успешно завершен.
По оценке разработчиков, внедрение прошло вполне успешно. Теперь код на Rust в ядре Linux — это не экспериментальный элемент, а полноценная составляющая, равноправная с кодом на С и С++.
