Linux-ի անվտանգության նոր՝ Looney Tunables խոցելիությունը նկատելի է դարձել GNU C գրադարանի ld.so dynamic loader-ում, որի հաջող շահագործման դեպքում կարող է հանգեցնել լոկալ արտոնությունների ընդլայնման և համակարգում հաքերների մուտքի:
CVE-2023-4911 (CVSS կատալոգում միավորը՝ 7.8) խոցելիությունը buffer overflow է, որը dynamic loader-ի կողմից գտնվում է GLIBC_TUNABLES-ի մշակման մեջ: Կիբերանվտանգության ոլորտի Qualys ընկերությունը վերջերս բացահայտեց bug-ի մանրամասները, որը ներկայացվեց 2021 թվականի ապրիլին:
Խոցելիությունն ազդում է Linux-ի՝ Fedora 37 և 38, Ubuntu 22.04 և 23.04, Debian 12 և 13 դիստրիբյուտորների վրա: Բացառություն է կազմում Alpine Linux տարբերակը, որը musl libc գրադարանն օգտագործում է glibc-ի փոխարեն:
Red Hat-ի կողմից թողարկված զեկույցում նշվում է, որ լոկալ հաքերները կարող են չարաշահել խոցելիությունը՝ կիրառելով GLIBC_TUNABLES փոփոխականները:
Հարցին դեռևս միայն ժամանակավոր լուծում է տրվել, որը նպաստում է GLIBC_TUNABLES-ի աշխատանքի դադարեցմանը:
Linux-ում վերջին տարիներին ի հայտ եկած Looney Tunables-ը արտոնությունների ընդլայնման խոցելիությունների ցնակում վերջին հավելումն է: Կիրառելով CVE-2021-3156 (Baron Samedit), CVE-2021-3560, CVE-2021-33909 (Sequoia), և CVE-2021-4034 (PwnKit) խոցելիությունները՝ հաքերները կարող են ավելի ընդլայնված արտոնություններ ստանալ համակարգում:
Աղբյուրը՝ https://thehackernews.com/
