GNU C -kirjaston (glibc) vastikään havaittu paikallinen pääkäyttöoikeuden nousun haavoittuvuus asettaa suuret Linux-jakelut vaaraan mahdollistaen päättämättömien hyökkääjien saada juuripääsy oletuskonfiguraatioissa. Haavoittuvuutta, tunnettuna nimellä CVE-2023-6246, esiintyy laajasti käytetyissä syslog- ja vsyslog-funktioissa, erityisesti __vsyslog_internal() -funktiossa.
Qualys-turvallisuustutkijat ovat havainneet pinoa ylittävän puskurin ylivuotohaavoittuvuuden, joka otettiin käyttöön vahingossa glibc 2.37:ssä elokuussa 2022. Myöhemmin se otettiin takaisin glibc 2.36:een, kun käsiteltiin vähemmän vakavaa haavoittuvuutta (CVE-2022-39046). Haavoittuvuus aiheuttaa merkittävän uhan, mahdollistaen päättämättömän käyttäjän saada täydellinen juuripääsy sovelluksiin, jotka käyttävät näitä lokitusfunktioita.
Qualysin testausten perusteella Debian 12 ja 13, Ubuntu 23.04 ja 23.10 sekä Fedora 37–39 ovat alttiita CVE-2023-6246-hyökkäyksille, mahdollistaen minkä tahansa päättämättömän käyttäjän eskaloida oikeuksia täyteen juuripääsyyn oletusasennuksissa. Vaikka testit rajoittuivat tiettyihin jakeluihin, tutkijat varoittavat, että ”muut jakelut ovat todennäköisesti myös haavoittuvia.”
Qualysin analyysin aikana paljastui kolme muuta haavoittuvuutta. Näistä kaksi, CVE-2023-6779 ja CVE-2023-6780, ovat vaikeammin hyödynnettäviä __vsyslog_internal() -funktiossa, kun taas kolmas (odottaa CVEID:iä) on muistivirhe glibc:n qsort()-funktiosta.
Qualysin Threat Research Unitin tuotepäällikkö Saeed Abbasi korosti tiukan turvallisuuskäytännön tärkeyttä yleisesti käytettyjen ydinkirjastojen kehittämisessä monien järjestelmien ja sovellusten parissa.
Tämä uusin löydös lisätään Qualysin vuosien varrella tekemiin Linux-haavoittuvuuspaljastuksiin, mukaan lukien virheet glibc:n ld.so-dynaamisessa lataajassa, Polkitin pkexec-komponentissa, ytimen tiedostojärjestelmäkerroksessa ja Sudo Unix -ohjelmassa. Näiden havaintojen merkitys korostaa päivitysten nopeuden ja valppaiden turvallisuuskäytäntöjen tärkeyttä Linux-yhteisössä.
