Qualys scopre la nuova vulnerabilità Looney Tunables, un bug della glibc che affligge tutte le maggiori distribuzioni Linux
Il team di sicurezza dell’azienda Qualys ha scoperto una vulnerabilità presente nella GNU C Library, battezzata Looney Tunables, che consente di guadagnare i privilegi di root sulle ultime versioni di tutte le maggiori distribuzioni, ad esempio Debian 12 e 13, Ubuntu 22.04 e 23.04, così come Fedora 37 e 38 (ma ad esempio non Alpine Linux, che utilizza musl libc, quindi una versione differente).
La CVE associata alla problematica è CVE-2023-4911 e come descrive il Red Hat Customer Portal si tratta di un buffer overflow presente all’interno del dynamic loader ld.so e che subentra quando viene considerata la variabile d’ambiente GLIBC_TUNABLES.
Stando a quanto riportato un utente non privilegiato che ha fatto login potrebbe confezionare opportunamente la variabile in questione e poi lanciare binari a cui è assegnato il permesso SUID per eseguire codice arbitrario.
Il permesso SUID (Set User ID) in Linux consente a un eseguibile di essere eseguito con i privilegi dell’utente proprietario anziché con quelli dell’utente che lo sta eseguendo. In genere è utile per consentire a utenti non privilegiati di eseguire determinate operazioni con privilegi elevati, come l’esecuzione di comandi di amministrazione di sistema (ad esempio il comando /usr/bin/passwd è in genere impostato con bit SUID).
La vulnerabilità affligge glibc 2.34 mediante il commit 2ed18c e fortunatamente esistono già delle mitigation per il problema, quella per i sistemi Red Hat ad esempio è illustrata nell’articolo del portale clienti e prevede l’installazione del pacchetto systemtap e di uno script fornito nell’articolo stesso, il cui scopo è quello di intercettare chiamate malevole mediante il caricamento come modulo all’interno del sistema. Una soluzione non immediata, ma applicabile in pochi passi.
Certamente questa è una vulnerabilità da non trascurare, e la storia insegna come il team Qualys sia assolutamente da seguire quando riporta le varie scoperte. Vi ricordate ad esempio di Pwnkit? Era stato scoperto sempre da loro, così come decine di altri bug simili. Basta cercare Qualys nel blog per rendersi conto di come la notifica di questo nuovo bug sia altamente da considerare, insieme alla verifica sui propri sistemi.
Perché quando si parla di sicurezza, come sapete, stare tranquilli non è mai un’opzione.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
