Il team di sicurezza dell’azienda Qualys ha scoperto una vulnerabilità presente nella GNU C Library, battezzata Looney Tunables, che consente di guadagnare i privilegi di root sulle ultime versioni di tutte le maggiori distribuzioni, ad esempio Debian 12 e 13, Ubuntu 22.04 e 23.04, così come Fedora 37 e 38 (ma ad esempio non Alpine Linux, che utilizza musl libc, quindi una versione differente).
La CVE associata alla problematica è CVE-2023-4911 e come descrive il Red Hat Customer Portal si tratta di un buffer overflow presente all’interno del dynamic loader ld.so e che subentra quando viene considerata la viriabile d’ambiente GLIBC_TUNABLES.
Stando a quanto riportato un utente non privilegiato che ha fatto login potrebbe confezionare opportunamente la variabile in questione e poi lanciare binari a cui è assegnato il permesso SUID per eseguire codice arbitrario.
Il permesso SUID (Set User ID) in Linux consente a un eseguibile di essere eseguito con i privilegi dell’utente proprietario anziché con quelli dell’utente che lo sta eseguendo. In genere è utile per consentire a utenti non privilegiati di eseguire determinate operazioni con privilegi elevati, come l’esecuzione di comandi di amministrazione di sistema (ad esempio il comando /usr/bin/passwd è in genere impostato con bit SUID).
La vulnerabilità affligge glibc 2.34 mediante il commit 2ed18c e fortunatamente esistono già delle mitigation per il problema, quella per i sistemi Red Hat ad esempio è illustrata nell’articolo del portale clienti e prevede l’installazione del pacchetto systemtap e di uno script fornito nell’articolo stesso, il cui scopo è quello di intercettare chiamate malevole mediante il caricamento come modulo all’interno del sistema. Una soluzione non immediata, ma applicabile in pochi passi.
Certamente questa è una vulnerabilità da non trascurare, e la storia insegna come il team Qualys sia assolutamente da seguire quando riporta le varie scoperte. Vi ricordate ad esempio di Pwnkit? Era stato scoperto sempre da loro, così come decine di altri bug simili. Basta cercare Qualys nel blog per rendersi conto di come la notifica di questo nuovo bug sia altamente da considerare, insieme alla verifica sui propri sistemi.
Perché quando si parla di sicurezza, come sapete, stare tranquilli non è mai un’opzione.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Tags: Bug, glibc, Linux, Looney Tunables, Qualys, Vulnerabilità