Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限

该漏洞编号是CVE-2023-6246，位于 glibc 的 __vsyslog_internal() 函数中，由广泛使用的 syslog 和 vsyslog 函数调用，目的是将消息写入系统消息记录器中。

该漏洞是由2022年8月glibc 2.37回滚到 2.36版本以解决严重程度稍低的另外一个漏洞CVE-2022-39046时，不慎引入的一个堆缓冲区溢出漏洞导致的。

Qualys 公司的安全研究人员指出，“缓冲区溢出漏洞具有重大威胁，因为它可触发本地提权，导致低权限用户通过将输入构造到应用这些日志记录功能的应用，获得完整的 root 访问权限。尽管该漏洞在特定条件下才能被利用（如异常长的 agrv[0] 或 openlog() 标识符参数），因为受影响库使用广泛，因此它产生的影响是重大的。”

研究人员在测试研究成果时证实称，Debian 12和13、Ubuntu 23.04和23.10以及 Fedora 37 到39版本均易受CVE-2023-6246 漏洞影响，可导致低权限用户在默认配置下将权限提升至完全的 root 访问权限。

尽管测试仅限于少数几个发行版本，但研究人员指出，“其它发行版本很可能也易遭利用。”

研究人员在分析 glibc 中的其它可能安全问题时还发现了三个其它漏洞，其中2个更难利用的漏洞位于 __vsyslog_internal() 函数中（CVE-2023-6779和CVE-2023-6780），第3个位于glibc 的 qsort() 函数中（是内存损坏漏洞，尚无CVE编号）。

Qualys 公司的威胁研究部产品经理 Saeed Abbasi 提到，“这些漏洞凸显在软件开发中执行严格安全措施的重要性，尤其是对于很多系统和应用广泛使用的核心库更是如此。”

多年来，Qualys 公司的研究人员发现Linux 的多个其它漏洞，可导致攻击者完全控制未修复的 Linux 系统，甚至在默认配置情况下更是如此。

他们发现的漏洞位于 glibc ld.so 动态加载器 (Looney Tunables)、Polkit 的pkexec 组件（被称为 PwnKit）、Kernel 文件系统层（被称为 Sequoia）以及 Sudo Unix 程序（即 Baron Samedit）中。

就在 Looney Tunables 漏洞（CVE-2023-4911）被披露后不久，其PoC 利用遭公开，威胁行动者在一个月之后就发动 Kinsing 恶意软件攻击，窃取云服务提供商的凭据。

Kinsing 团伙在受陷云系统如 Kubernetes、Docker API、Redis 和 Jenkins 服务器上部署挖币恶意软件。之后，CISA将CVE-2023-4911列入必修清单并将其标记为“对联邦企业造成重大风险”，并要求美国联邦机构修复。

    觉得不错，就点个 “在看” 或 "赞” 吧~