由于GNU C庫(glibc)(大多數Linux發行版的基本組件)中發現的四個嚴重漏洞,數以百萬計的Linux系統面臨風險。



Qualys威脅研究單位(TRU)在GNU C庫(基于Linux的系統的重要組件)中發現了四個重大漏洞。研究人員發現該庫的syslog和qsort功能存在多個漏洞,引發了嚴重的安全問題。


第一個漏洞(編號為CVE-2023-6246)是基于堆的緩沖區溢出法則。它是在GNU C庫的_vsysloginternal()函數中發現的,并影響syslog()和vsyslog()。


該漏洞源自2022年8月推出的glibc 2.37,隨后向后移植到glibc 2.36,從而對其進行追蹤。大多數主要Linux發行版(包括Debian、Ubuntu和Fedora)都容易受到此缺陷的影響,該缺陷允許本地權限升級并讓非特權用戶獲得完全root訪問權限。


受CVE-2023-6246影響的同一功能還有兩個影響較小的漏洞:CVE-2023-6779(glibc)和CVE-2023-6780(glibc)。這些漏洞涉及基于堆的差一緩沖區溢出和整數溢出問題。


一旦觸發,這些缺陷似乎比第一個漏洞(CVE-2023-6246)更具挑戰性。進一步的調查表明,它們的有效利用更加復雜。


最后一個是在GNU C庫的qsort函數中發現的內存損壞問題,該問題是由于缺少邊界檢查而發生的。當qsort()與非傳遞比較函數一起使用并且攻擊者設法控制大量元素時,可以利用此漏洞,從而導致malloc()失敗。


這些缺陷會影響glibc對syslog()中輸入格式的處理,并可能觸發緩沖區溢出和內存損壞,從而使攻擊者能夠將惡意代碼注入易受攻擊的系統中。利用這些漏洞可能使攻擊者能夠在受影響的系統上獲得遠程代碼執行(RCE),從而可能導致數據盜竊和系統受損。


syslog漏洞允許root訪問,影響主要Linux發行版,而qsort漏洞則導致內存損壞。更令人擔憂的是,該漏洞影響從1992年9月(glibc 1.04)到當前版本(glibc 2.38)的所有glibc版本。


TRU于2023年12月12日就該缺陷聯系了glibc安全團隊,但該團隊決定不將qsort()中的內存損壞視為漏洞。2024年1月16日,TRU將b9390ba向后移植到glibc的所有穩定版本,協調發布日期定為2023年1月30日。


這一發現凸顯了一個痛苦的事實:即使是最值得信賴的組件也可能存在缺陷。正如TRU的產品經理Saeed Abbasi在公司的博客文章中指出的那樣,這些問題通常會產生深遠的影響,可能會影響全球數百萬用戶,并使大量應用程序容易受到攻擊和利用。


“最近發現的這些漏洞不僅是一個技術問題,而且是一個廣泛的安全影響問題。”


建議用戶立即更新其glibc版本以降低風險,而系統管理員和開發人員應檢查其應用程序/庫以確保其系統安全。

漏洞 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接