Merkittävä haavoittuvuus GNU glibc-kirjastossa

Haavoittuvuus5/2024CVE-2023-6246 (Ulkoinen linkki)

Julkaistu 01.02.2024 10:59

GNU glibc-kirjastossa on havaittu puskurin ylivuotohaavoittuvuus, joka vaikuttaa useisiin Linux-jakeluihin. Haavoittuvuus mahdollistaa paikallisille käyttäjille oikeuksien korottamisen pääkäyttäjän (root) tasolle. Linux-jakeluista haavoittuvaiseksi on todettu ainakin Debian (versiot 12 ja 13), Ubuntu (23.04 ja 23.10) ja Fedora (37 - 39). Mainittuihin jakeluihin on tarjolla korjaavat päivitykset.

glibc:n syslog()-funktion puskurin ylivuotohaavoittuvuus (CVE-2023-6246) mahdollistaa hyökkääjälle tunnuksen käyttöoikeuksien korottamisen pääkäyttäjätasolle (root) haavoittuvassa järjestelmässä.

Haavoittuus koskee glibc:n versiota 2.37, joka on julkaistu elokuussa 2022. Haavoittuvuus vaikuttaa ainakin seuraaviin Linux-jakeluihin, joissa kyseinen versio on käytössä:

Debian (versiot 12 ja 13)
Ubuntu (23.04 ja 23.10)
Fedora (37 - 39)

Myös muita haavoittuvia järjestelmiä todennäköisesti on olemassa.

Haavoittuvuuden löytäneiden Qualysin tutkijoiden mukaan haavoittuvuutta ei voi hyväksikäyttää etänä. Haavoittuvuuteen on korjaus saatavilla.

Qualysin tutkijat löysivät lisäksi kaksi muuta kriittistä haavoittuvuutta glibc-kirjastosta, joiden CVE-numerot ovat CVE-2023-6779 ja CVE-2023-6780. Tutkijoiden mukaan näiden haavoittuvuuksien hyväksikäyttö on haastavampaa ja hyödyntäminen monimutkaisempaa kuin CVE-2023-6246 haavoittuvuuden. Myös näihin haavoittuvuuksiin on korjaavat päivitykset saatavilla.

Haavoittuvuus koskee organisaatioita, palveluntarjoajia sekä henkilöitä, joilla on mainitun glibc-kirjastoversion sisältäviä Linux-jakeluita käytössä tai ylläpidossa.