Root Access Vulnerability In Gnu Library C (Glibc) Impacts Many Linux Distros
2024/01/30 SecurityAffairs — GNU Library C (glibc) に存在する4件のセキュリティ脆弱性が、Qualys Threat Research Unit により発見されたが、その中には、CVE-2023-6246 として追跡されているヒープベースのバッファオーバーフローの欠陥も含まれる。GNU Library C (glibc) は、Linux などの Unix 系オペレーティング・システムに不可欠な、システム・サービスを提供するフリーのソフトウェア・ライブラリである。
この脆弱性 CVE-2023-6246 は、glibc の syslog 関数に存在し、この欠陥の悪用に成功した攻撃者は、特権を昇格させ root アクセスを取得できる。
この脆弱性は、2022年8月の glibc 2.37 で取り込まれてしまったものだ。
Qualys のアドバイザリには、「syslog() と vsyslog() の両方から呼び出される、GNU Library C の __vsyslog_internal() 関数に、ヒープバッファ・オーバーフローを発見した。この脆弱性は、glibc 2.37 (2022年8月) のコミットにより取り込まれてしまったものだ。そのときのコミットは、__vsyslog_internal() のマイナーな脆弱性 CVE-2022-39046 に対するものであり、ヒープからの未初期化メモリ読み込みの修正であったことで、glibc 2.36 にもバックポートされた」と記されている。
Qualys の指摘は、この脆弱性はリモートから悪用できないというものだ。ただし、これらのロギング関数を使用するアプリケーションに対して、攻撃者が細工した入力を提供することで、この問題を引き起こすことが可能となる。
glibc は Linux オペレーティング・システムの、大半のディストリビューションに存在すると、Qualys は指摘している。同社は、Debian 12/13 および、Ubuntu 23.04/23.10、Fedora 37/38/39 で、この脆弱性をテストした。他のディストリビューションも、おそらく影響を受けていると思われる。
Qualys が発見した、その他の問題は以下の通りである:
- qsort の脆弱性は、境界チェックの欠落によるものであり、メモリ破壊につながる可能性がある。1992年以降の、すべてのバージョンの glibc に存在する。
- 残りの2つは、ヒープバッファ・オーバーフローの脆弱性 CVE-2023-6779 と、整数オーバーフローの脆弱性 CVE-2023-6780 である。
Qualys Threat Research Unit のプロダクト・マネージャーである Saeed Abbasi が、詳細について投稿している。
この、バッファ・オーバーフローなどのメモリ破壊系の脆弱性が、いまだに無くならないのは、プログラミング言語の側にも問題があるのだと思います。Security-by-Design という考え方が CISA から提示されていますが、その先頭に掲げられているのが、メモリ・セキュアなプログラミング言語の使用です。そう言っても GNU Library C の話なので、なかなか噛み合いませんが、いずれは解消する問題だと、期待したいです。
IoT OT Security News 
You must be logged in to post a comment.