一、漏洞概述
|
漏洞名稱 |
Linux glibc堆緩衝區溢出漏洞 |
||
|
CVE ID |
CVE-2023-6246 |
||
|
漏洞類型 |
緩衝區溢出、LPE |
發現時間 |
2024-01-31 |
|
漏洞評分 |
暫無 |
漏洞等級 |
高危 |
|
攻擊向量 |
本地 |
所需許可權 |
低 |
|
利用難度 |
低 |
使用者互動 |
無 |
|
PoC/EXP |
已公開 |
在野利用 |
未知 |
GNU C庫(又名glibc),是 GNU 系統以及大多數運行 Linux 核心的系統中的重要元件,是應用程序和Linux核心之間的核心接口。
2024年1月31日,啟明星辰VSRC監測到glibc中存在一個基於堆的緩衝區溢出漏洞(CVE-2023-6246),該漏洞的細節及PoC/EXP已經公開披露,已知該漏洞影響了Debian、Ubuntu 和Fedora 系統。
由於glibc 的__vsyslog_internal() 函數中存在基於堆的緩衝區溢出漏洞,該函數被廣泛使用的syslog()和vsyslog()函數調用,用於向系統訊息記錄器寫入訊息。本地非特權使用者可通過對使用這些日誌記錄功能的應用程序執行惡意輸入來獲得root 訪問許可權,成功利用可能導致本地許可權提升。
此外,glibc中還存在另外3個漏洞,分別為__vsyslog_internal() 函數中的緩衝區溢出漏洞(CVE-2023-6779)和整數溢出漏洞(CVE-2023-6780),以及qsort () 函數中由於缺少邊界檢查而導致的記憶體損壞問題。
二、影響範圍
glibc版本 2.36、2.37
注:CVE-2023-6246於glibc 2.37(2022 年 8 月)中無意引入,後向後移植到 glibc 2.36,glibc 的qsort()函數中的記憶體損壞問題影響了glibc 版本1.04 – 2.38。
此外,CVE-2023-6246需要特定的條件才能被利用(例如異常長的 argv[0] 或 openlog() ident 參數),已知該漏洞影響了以下系統版本:
Debian 12和13;
Ubuntu 23.04 和 23.10;
Fedora 37、38、39。
三、安全措施
3.1升級版本
目前這些漏洞已經修復(除了glibc 的 qsort()函數中的記憶體損壞問題),受影響使用者可升級到最新版本。
下載連結:
https://sourceware.org/glibc/
3.2臨時措施
暫無。
3.3通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4參考連結
https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt
https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog