Linux: vulnerabilità grave nella libreria glibc

I ricercatori di Qualys hanno individuato una vulnerabilità grave a carico della libreria glibc (GNU C Library) adottata in diverse distribuzioni basate sul kernel Linux. Tale problematica, associata al CVE-2023-6246, riguarderebbe nello specifico la funzione __vsyslog_internal(). Mentre il rischio accertato è quello di un buffer overflow con sovrascrittura dei dati residenti in memoria che potrebbe portare all'esecuzione arbitraria di codice. Fatto questo un attaccante potrebbe impersonare l'utente di root e avere il pieno controllo del sistema colpito.

Cosa è la libreria glibc

La libreria glibc è una componente standard di C che ha la caratteristica di essere portabile su diversi sistemi Unix-like. Il suo compito principale è quello di fornire il supporto all'esecuzione di programmi scritti in C su piattaforme differenti. Nel caso specifico degli ambienti Linux based, dove è non di rado la libreria standard C di default, essa opera a livello di interfaccia tra il kernel e le applicazioni. Presiede inoltre ad aspetti particolarmente rilevanti dal punto di vista della sicurezza come la gestione dei processi, l'accesso al file system da parte dei programmi e le chiamate di sistema.

🚨 A new glibc flaw (CVE-2023-6246) gives attackers root access on #Linux.

This high-severity #vulnerability impacts major distros like Debian, Ubuntu, and Fedora. Don't wait, update your systems!

Find details here → https://t.co/GDpfhY1EFw#cybersecurity #hacking

— The Hacker News (@TheHackersNews) January 31, 2024

__vsyslog_internal() è invece una funzione interna di glibc per la registrazione dei messaggi di sistema tramite syslog() o funzioni analoghe. Si tratta quindi di una soluzione utile per svolgere attività legate al monitoraggio e al debugging.

Rischi legati alla vulnerabilità

Fortunatamente, la documentazione del CVE-2023-6246 sottolinea che per poter sfruttare la vulnerabilità rilevata è necessario disporre di una credenziale per l'accesso al sistema. Con essa è poi possibile agire da locale o da remoto per lanciare un attacco. Ad essere interessate dal problema sono per la precisione le versioni 2.36 e 2.37 di glibc che è presente nelle release più recenti di distribuzioni molto diffuse come per esempio Ubuntu e Debian.

In assenza di patch non esiste un sistema affidabile per mettersi al sicuro dalla falla se non quello di evitare la comunicazione delle credenziali a persone non fidate. Gli utenti devono quindi applicarle immediatamente una volta scaricato l'aggiornamento correttivo per la propria distribuzione.