CVE-2023-4911 (Looney Tunables): критическая уязвимость в glibc

Октябрь 09, 2023

В динамическом компоновщике (ld.so) Си-библиотеки glibc была обнаружена уязвимость, приводящая к переполнению буфера при обработке переменной среды GLIBC_TUNABLES. Узнайте больше об уязвимости и мерах по снижению риска эксплойтов в нашей статье.

Описание

Уязвимость CVE-2023-4911 (которую также называют Looney Tunables) появилась в glibc 2.34 в апреле 2021 года. Поскольку большинство дистрибутивов Linux основаны именно на этой библиотеке Си, уязвимость затрагивает большинство систем. В чем суть Looney Tunables?

Динамический компоновщик используется для поиска и загрузки необходимых программе библиотек. Переменная GLIBC_TUNABLES в составе компоновщика позволяет разработчикам оптимизировать производительность и отлаживать поведение библиотеки во время исполнения программы без необходимости повторной компиляции библиотеки или приложения. Из-за ошибки в коде обработки строки в переменной GLIBC_TUNABLES некорректная комбинация параметров в этой переменной может привести к переполнению буфера и получению злоумышленником прав root.

Уровень риска

Уязвимость получила 7,8 баллов по шкале CVSS, что указывает на высокий уровень опасности, поскольку она позволяет локальному пользователю поднять свои привилегии в системе при запуске программы с флагом set-user-ID или set-group-ID и получить полный доступ root к системе.

Меры безопасности

Если вы используете дистрибутив Linux, основанный на Си-библиотеке musl (Alpine или Axiom Linux с оптимизированным musl), то ваша система не подвержена этой уязвимости. Если вы используете дистрибутив на основе glibc, рекомендуем как можно скорее обновить ОС.

Axiom JDK уже выпустило патч для glibc-версии Axiom Runtime Container Pro и Axiom Linux: новые образы доступны в репозиториях Axiom JDK.