Linux, molte distribuzioni esposte alla vulnerabilità Looney Tunables

È stata rivelata una vulnerabilità che potrebbe potenzialmente colpire un’ampia gamma di distribuzioni Linux. Soprannominata Looney Tunables dai ricercatori Qualys Threat Research Unit (TRU), la vulnerabilità risiederebbe nel caricatore dinamico della libreria GNU C (glibc) e sarrebbe associata all’elaborazione della variabile d’ambiente GLIBC_TUNABLES.

La vulnerabilità CVE-2023-4911

Il difetto di tipo buffer overflow (CVE-2023-4911), solleva preoccupazioni perchè garantirebbe ad un potenziale attaccante l’accesso a livello di root, grazie all’escalation dei privilegi locali. In pratica configurando la variabile di ambiente GLIBC_TUNABLES, gli utenti possono mettere a punto vari parametri di prestazione e comportamento, influenzando il comportamento delle applicazioni collegate a glibc. L’uso improprio o lo sfruttamento di questa variabile di ambiente può pertanto influire gravemente sulle prestazioni e sulla sicurezza del sistema.

Per i dettagli tecnici su questa vulnerabilità, Saeed Abbasi, Product Manager TRU presso Qualys, ha reso diponibile un rapporto dedicato.

Le distribuzioni Linux coinvolte

Ad essere esposti sarebberro diverse distribuzioni Linux, tra cui Fedora 37 e 38, Ubuntu 22.04 e 23.04 e Debian 12 e 13 ad eccezione di Alpine Linux perchè usa la libreria “musl libc” invece di “glibc“. È comunque probabile secondo i ricercatori che altre distribuzioni possanno essere altrettanto vulnerabili.

Applicare la patch

Qualys TRU ha reso una divulgazione responsabile della vulnerabilità e il 03 ottobre 2023 la patch è stata emessa secondo un programma di rilascio coordinato.

Come sempre anche per i sistemi Linux è fondamentale dare priorità all’applicazione delle patch per garantire integrità e sicurezza.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.