漏洞概述

漏洞名称

Glibc ld.so本地权限提升漏洞

漏洞编号

QVD-2023-23533、CVE-2023-4911

公开时间

2023-10-03

影响对象数量级

千万级

奇安信评级

高危

CVSS 3.1分数

7.8

威胁类型

代码执行

利用可能性

POC状态

已公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

已公开

利用条件:需要本地触发、需要低权限。

0漏洞详情

影响组件

GNU C Library项目为GNU系统和GNU/Linux系统以及其他许多使用Linux作为内核的系统提供了核心库。这些库提供关键的API,包括ISOC11、POSIX.1-2008、BSD、特定于操作系统的API等。这些API包括诸如open、read、write、malloc、printf、getaddrinfo、dlopen、pthread _ create、crypt、login、exit等基本工具。

漏洞描述

近日,奇安信CERT监测到Glibc ld.so本地权限提升漏洞(CVE-2023-4911):GNU C 库的动态加载器 ld.so 在处理 GLIBC_TUNABLES 环境变量时存在缓冲区溢出漏洞。可能允许本地攻击者在运行具有SUID权限的二进制文件时通过恶意的 GLIBC_TUNABLES 环境变量来提升系统权限。

目前,此漏洞技术细节及POC已在互联网上公开,同时奇安信CERT已复现此漏洞,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

02 影响范围

影响版本

2.34 <= glibc <= 2.38

其他受影响组件

03 复现情况

目前,奇安信CERT已成功复现Glibc ld.so本地权限提升漏洞(CVE-2023-4911),截图如下:

04 处置建议

安全更新

目前官方已有可更新版本,建议受影响用户参考以下链接升级至最新版本。

  • Redhat:

https://access.redhat.com/security/cve/CVE-2023-4911

若无法立即更新且未启用安全启动功能,可以使用SystemTap 脚本(参考:https://access.redhat.com/security/cve/CVE-2023-4911)来缓解该问题。启用后,环境中使用 GLIBC_TUNABLES 调用的任何 setuid 程序都将立即终止。要调用 setuid 程序,用户必须取消设置或清除 GLIBC_TUNABLES envvar,例如`GLIBC_TUNABLES= sudo`。

  • Debian:

https://security-tracker.debian.org/tracker/CVE-2023-4911

  • Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4DBUQRRPB47TC3NJOUIBVWUGFHBJAFDL/

05 参考资料

[1]https://access.redhat.com/security/cve/CVE-2023-4911

[2]https://security-tracker.debian.org/tracker/CVE-2023-4911

[3]https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4DBUQRRPB47TC3NJOUIBVWUGFHBJAFDL/

[4]https://www.gnu.org/software/libc/

[5]https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld-so.txt

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。