‘Looney Tunables’-lek treft meeste Linux-distributies
Er zit een lek in meeste Linux-distro’s, ontdekten onderzoekers bij Qualys. Het lek bevindt zich in de GNU C Library: de dynamische loader doet daar een en ander verkeerd met de GLIBC-TUNABLES-omgevingsvariabele. Dat is een flink probleem: de GNU C Library maakt al sinds de begindagen deel uit van meeste distributies.
Het probleem blijkt bovendien helemaal niet zo moeilijk om uit te buiten. Qualys laat weten dat je de waarde van GLIBC-TUNABLES naar een specifieke waarde kan aanpassen om een bufferoverflow te veroorzaken. Daardoor wordt het mogelijk om de controle van ld.so, de dynamische loader, over te nemen. Dat is bijzonder problematisch, aangezien dat proces steeds met verhoogde toestemmingen moet draaien, vaak op kernelniveau. Het zorgt ervoor dat je programma’s kan uitvoeren door de benodigde libraries in te laden en die aan het juiste proces te koppelen.
Met andere woorden: een gebruiker zonder systeemprivileges die erin slaagt om de bufferoverflow te veroorzaken, kan zichzelf tot superuser kronen – het equivalent van de administrator in Windows. Dat zou lukken in Fedora 37 en 38, Ubuntu 22.04 en 23.04 én in Debian 12 en 13. Dat zijn echter niet de enigen: glibc maakt deel uit van meeste Linux-distro’s, en dus de Looney Tunables ook. Enkel distro’s als Alpine Linux en Void Linux worden gevrijwaard: zij gebruiken namelijk musl’s libc. Gebruikers hebben echter de mogelijkheid om, zowel in Fedora, Ubuntu als Debian, musl als optioneel onderdeel te installeren.
Ook in Enterprise Linux
Red Hat laat weten dat Enterprise Linux 8 en Enterprise Linux 9 eveneens getroffen worden. Hetzelfde geldt voor Virtualisation 4-producten. Het foutje sloop ergens in april 2021 in glibc 2.34, en ging daarna deel uitmaken van meerdere distributies.
Een patch is ondertussen beschikbaar. Gebruikers en systeemadministrators updaten dus best zo snel mogelijk hun Linux-systemen.