Die Sicherheitsforscher der Qualys Threat Research Unit (TRU) entdeckten kürzlich mehrere Sicherheitslücken in der GNU C Bibliothek glibc, die für die meisten Linux-Distributionen von zentraler Bedeutung ist.
Lokales Konto erforderlich
Die gefährlichste der Lücken, die eine lokale Ausweitung der Privilegien erlaubt, ist als CVE-2023-6246, CVE-2023-6779 und CVE-2023-6780 katalogisiert und löst einen Pufferüberlauf in der Funktion __vsyslog_internal() aus, der per Rechteausweitung einen Root-Zugriff möglich macht. Voraussetzung dafür ist allerdings ein lokales Konto auf der entsprechenden Maschine.
Viele Distributionen betroffen
Die Lücke ist seit glibc v2.36 aus dem Jahr 2022 vorhanden und entstand als Regression bei der Behebung einer anderen Lücke. Betroffen sind zumindest Debian 12 und 13, Ubuntu 23.04 und 23.10 sowie Fedora 37 bis 39 und deren Derivate. Für Debian und Fedora sind bereits aktualisierte Pakete verfügbar. Ubuntu ist, Stand heute morgen 09:00 noch verwundbar, wie der folgende Exploit zeigt, den ihr nicht auf produktiven Systemen testen solltet:
Seit 32 Jahren
Von den weiteren Sicherheitslücken betrifft eine die Sortierfunktion qsort in allen Versionen von 1.04 bis zum aktuellen 2.28. Diese Lücke ist somit seit 32 Jahren in der Bibliothek vorhanden. Einen Exploit, der die Kriterien zur Ausnutzung erfüllt, haben die Forscher bisher allerdings nicht gefunden.