GNU C ライブラリのセキュリティ脆弱性が新たに明らかになりました (glibc) サイバーセキュリティコミュニティ内で重大な懸念を引き起こした. として追跡 CVE-2023-6246, これ ヒープベースのバッファオーバーフローの欠陥 悪意のあるローカル攻撃者が完全なファイルを入手できる可能性があります。 Linux マシンの root アクセス.
脆弱性, 8月に導入されました 2022 glibcのリリースにより 2.37, 主要な Linux ディストリビューションに影響を与える, Debianを含む, Ubuntu, とFedora.
CVE-2023-6246 脆弱性の説明
脆弱性の根本原因は __vsyslog_internal にあります() glibc の機能, syslog によって利用される() と vsyslog() システムログの目的のため.
によると サイード・アッバシ, Qualys の脅威研究ユニットのプロダクト マネージャー, この欠陥によりローカル権限昇格が可能になる, 特権のないユーザーに 完全な root アクセスを取得する機能. 攻撃者は、影響を受けるログ機能を使用するアプリケーションに特別に細工した入力を使用することで、この脆弱性を悪用する可能性があります。.
影響と条件
脆弱性の悪用には特定の条件が必要ですが、, 異常に長い argv など[0] またはオープンログ() ID 引数, 影響を受けるライブラリが広く使用されているため、その重要性を過小評価することはできません。.
この欠陥により、Linux システムが危険にさらされます。 権限が昇格されるリスク, 機密データと重要なインフラストラクチャのセキュリティに深刻な脅威をもたらす.
追加の欠陥が発見されました
クオリス, glibc のさらなる分析中, __vsyslog_internal でさらに 2 つの欠陥を発見しました() 関数 -CVE-2023-6779 と CVE-2023-6780. これらの脆弱性, ライブラリの qsort で見つかった 3 番目のバグとともに() 関数, メモリ破損を引き起こす可能性があります.
特に懸念されるのは、qsort の脆弱性です。(), これは、それ以降にリリースされたすべての glibc バージョンに存在しています。 1992, セキュリティリスクの広範囲にわたる性質を強調する.
長期的な影響
この開発はQualysに続くものです’ 以前に明らかになった Looney Tunables の欠陥 (CVE-2023-4911) 同じ図書館内にある, ソフトウェア開発における厳格なセキュリティ対策の重要な必要性を強調する. これらの欠陥の累積的な影響により、多数のシステムやアプリケーションで広く使用されているコア ライブラリの脆弱性が浮き彫りになります。.
結論
GNU C ライブラリにおけるこれらの重大な欠陥の公開は、ソフトウェア エコシステムの基本コンポーネントのセキュリティを維持する上で現在進行中の課題を思い出させるものです。. 開発者, 管理者, Linux システムに依存している組織は、必要なセキュリティ パッチを速やかに実装することが求められます。.