Merkittävä haavoittuvuus GNU glibc-kirjastossa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Merkittävä haavoittuvuus GNU glibc-kirjastossa

1. helmikuuta 2024 klo 10.59

GNU glibc-kirjastossa on havaittu puskurin ylivuotohaavoittuvuus, joka vaikuttaa useisiin Linux-jakeluihin. Haavoittuvuus mahdollistaa paikallisille käyttäjille oikeuksien korottamisen pääkäyttäjän (root) tasolle. Linux-jakeluista haavoittuvaiseksi on todettu ainakin Debian (versiot 12 ja 13), Ubuntu (23.04 ja 23.10) ja Fedora (37 - 39). Mainittuihin jakeluihin on tarjolla korjaavat päivitykset.

glibc:n syslog()-funktion puskurin ylivuotohaavoittuvuus (CVE-2023-6246) mahdollistaa hyökkääjälle tunnuksen käyttöoikeuksien korottamisen pääkäyttäjätasolle (root) haavoittuvassa järjestelmässä.

Haavoittuus koskee glibc:n versiota 2.37, joka on julkaistu elokuussa 2022. Haavoittuvuus vaikuttaa ainakin seuraaviin Linux-jakeluihin, joissa kyseinen versio on käytössä:

  • Debian (versiot 12 ja 13)
  • Ubuntu (23.04 ja 23.10)
  • Fedora (37 - 39)

Myös muita haavoittuvia järjestelmiä todennäköisesti on olemassa.

Haavoittuvuuden löytäneiden Qualysin tutkijoiden mukaan haavoittuvuutta ei voi hyväksikäyttää etänä. Haavoittuvuuteen on korjaus saatavilla.

Qualysin tutkijat löysivät lisäksi kaksi muuta kriittistä haavoittuvuutta glibc-kirjastosta, joiden CVE-numerot ovat CVE-2023-6779 ja CVE-2023-6780. Tutkijoiden mukaan näiden haavoittuvuuksien hyväksikäyttö on haastavampaa ja hyödyntäminen monimutkaisempaa kuin CVE-2023-6246 haavoittuvuuden. Myös näihin haavoittuvuuksiin on korjaavat päivitykset saatavilla. 

Haavoittuvuus koskee organisaatioita, palveluntarjoajia sekä henkilöitä, joilla on mainitun glibc-kirjastoversion sisältäviä Linux-jakeluita käytössä tai ylläpidossa.

Haavoittuvuuden kohde

Linux-jakelut:

  • Debian (versiot 12 ja 13)
  • Ubuntu (23.04 ja 23.10) 
  • Fedora (37 - 39)
  • Muut Linux-jakelut, joissa on käytössä glibc-kirjaston 2.37-versio

Mistä on kysymys?

Päivitä glibc versioon 2.39

Mitä voin tehdä?

Qualys Security Advisory: CVE-2023-6246: Heap-based buffer overflow in the glibc's syslog() (Ulkoinen linkki)

Qualys TRU Discovers Important Vulnerabilities in GNU C Library’s syslog() (Ulkoinen linkki)

New Linux glibc flaw lets attackers get root on major distros (Ulkoinen linkki)
 

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.