Уязвимость в библиотеке glibc

В библиотеке glibc (GNU C Library) обнаружена уязвимость, которая потенциально может помочь атакующим повысить свои привилегии в системах семейства Linux до уровня суперпользователя (root). Библиотека обеспечивает работу системных вызовов и основных системных функций, включая syslog и vsyslog, которые служат для записи информации в лог системных сообщений. Уязвимость получила идентификатор CVE-2023-6246 и оценку 8,4 по шкале CVSS v3.1. Несмотря на то, что уровень этой опасности не критический, а только высокий, велика вероятность ее эксплуатации в масштабных атаках, ведь glibc — основная системная библиотека, которая используется практически всеми программами.

Какие системы подвержены уязвимости CVE-2023-6246?

Исследователи компании Qualys, обнаружившие эту уязвимость, протестировали ряд стандартных установок популярных систем на базе Linux и выяснили, какие системы уязвимы: Debian 12 и 13, Ubuntu 23.04 и 23.10, а также Fedora Linux с версии 37 по 39. Однако, эксперты добавляют, что другие дистрибутивы, вероятно, также подвержены этой уязвимости. Уязвимость присутствует в библиотеке версии 2.36 и старше. Создатели glibc устранили уязвимость в версии 2.39, которую выпустили 31 января, на следующий день после публикации исследования Qualys.

Что за уязвимость CVE-2023-6246 и откуда она взялась?

Уязвимость CVE-2023-6246 связана с переполнением буфера динамической памяти и относится к классу LPE (Local Privilege Escalation). Говоря простыми словами, атакующий, уже имеющий пользовательский доступ к системе, может воспользоваться вызовом уязвимых функций для того, чтобы повысить свои привилегии до уровня суперпользователя.

Впервые эта уязвимость была добавлена в библиотеку в версии 2.37, в августе 2022 года, в попытке закрыть менее опасную уязвимость CVE-2022-39046. Впоследствии создатели библиотеки внесли то же изменение и в версию 2.36.

Как оставаться в безопасности?

Для начала необходимо обновить библиотеку glibc до версии 2.39. Поскольку для эксплуатации данной уязвимости (и вообще всех уязвимостей класса LPE) атакующим необходимо уже иметь доступ к системе, CVE-2023-6246 вероятнее всего будет эксплуатироваться в сложных многоступенчатых атаках. Поэтому в первую очередь мы рекомендуем использовать решения, способные защищать в том числе и Linux. Так, например, в состав нашего решения Kaspersky Endpoint Security входит приложение Kaspersky Endpoint Security for Linux, которое борется с современными угрозами для систем на базе Linux.