Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限
编译:代码卫士
该漏洞编号是CVE-2023-6246,位于 glibc 的 __vsyslog_internal() 函数中,由广泛使用的 syslog 和 vsyslog 函数调用,目的是将消息写入系统消息记录器中。
该漏洞是由2022年8月glibc 2.37回滚到 2.36版本以解决严重程度稍低的另外一个漏洞CVE-2022-39046时,不慎引入的一个堆缓冲区溢出漏洞导致的。
Qualys 公司的安全研究人员指出,“缓冲区溢出漏洞具有重大威胁,因为它可触发本地提权,导致低权限用户通过将输入构造到应用这些日志记录功能的应用,获得完整的 root 访问权限。尽管该漏洞在特定条件下才能被利用(如异常长的 agrv[0] 或 openlog() 标识符参数),因为受影响库使用广泛,因此它产生的影响是重大的。”
研究人员在测试研究成果时证实称,Debian 12和13、Ubuntu 23.04和23.10以及 Fedora 37 到39版本均易受CVE-2023-6246 漏洞影响,可导致低权限用户在默认配置下将权限提升至完全的 root 访问权限。
尽管测试仅限于少数几个发行版本,但研究人员指出,“其它发行版本很可能也易遭利用。”
研究人员在分析 glibc 中的其它可能安全问题时还发现了三个其它漏洞,其中2个更难利用的漏洞位于 __vsyslog_internal() 函数中(CVE-2023-6779和CVE-2023-6780),第3个位于glibc 的 qsort() 函数中(是内存损坏漏洞,尚无CVE编号)。
Qualys 公司的威胁研究部产品经理 Saeed Abbasi 提到,“这些漏洞凸显在软件开发中执行严格安全措施的重要性,尤其是对于很多系统和应用广泛使用的核心库更是如此。”
多年来,Qualys 公司的研究人员发现Linux 的多个其它漏洞,可导致攻击者完全控制未修复的 Linux 系统,甚至在默认配置情况下更是如此。
他们发现的漏洞位于 glibc ld.so 动态加载器 (Looney Tunables)、Polkit 的pkexec 组件(被称为 PwnKit)、Kernel 文件系统层(被称为 Sequoia)以及 Sudo Unix 程序(即 Baron Samedit)中。
就在 Looney Tunables 漏洞(CVE-2023-4911)被披露后不久,其PoC 利用遭公开,威胁行动者在一个月之后就发动 Kinsing 恶意软件攻击,窃取云服务提供商的凭据。
Kinsing 团伙在受陷云系统如 Kubernetes、Docker API、Redis 和 Jenkins 服务器上部署挖币恶意软件。之后,CISA将CVE-2023-4911列入必修清单并将其标记为“对联邦企业造成重大风险”,并要求美国联邦机构修复。
PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统
开源库 libcue 中存在内存损坏漏洞,Linux 系统易遭RCE攻击
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。