Частково тому, що якщо ми перевищуємо 3% частки ринку, то це зовсім небагато, і завдяки Steam Deck користувачі Linux зазвичай не читають і не хвилюються про новини, подібні до тієї, яку ми пропонуємо вам сьогодні. Але те, що зазвичай щось не відбувається, не означає, що цього ніколи не відбувається. Є вразливості, які виявлено в ядрі, і виправлення надійдуть незабаром, але є інші, які є в інших компонентах, які ми також використовуємо, і щось подібне до того, що використовує те, що стало відомо як Looney Tunables.
Вразливість дозволяє a місцевий нападник отримати привілеї суперкористувача (root), використовуючи недолік переповнення буфера в динамічному завантажувачі ld.so бібліотеки GNU C. Ця бібліотека, більш відома як glibc, є бібліотекою C систем GNU і більшість із них базується на ядрі Linux. Надає основні функції, включаючи системні виклики, такі як open, malloc, printf, exit та інші.
Looney Tunables небезпечний, але потрібен локальний доступ
Її виявив відділ дослідження загроз Qualys, і це вразливість, яка був представлений у квітні 2021 року поруч із glibc 2.34. Код, за допомогою якого він відомий, — CVE-2023-4911, і він може дозволити ескалацію привілеїв, щоб зловмисник міг вільно переміщатися по операційній системі. Звичайно, необхідний фізичний доступ; не можна використовувати віддалено.
Постраждалих операційних систем незліченна кількість, і список включає Debian 12 і 13, Fedora 37 і 38 і все, що базується на них. Версії Ubuntu, включені до цього списку, є останніми двома стабільними, які все ще користуються підтримкою Ubuntu 22.04 і 23.04. Немає жодної згадки про будь-який попередній або 23.10, який буде випущений наступного тижня, хоча згадується Debian 13, стабільна версія якого з’явиться у 2025 році. Alpine Linux це не стосується, оскільки він використовує musl libc.
Щоб захистити себе від цієї та інших недоліків безпеки в Linux, найкраще, що ми можемо зробити, це завжди оновлюйте операційну систему. Тепер, коли це було оприлюднено, я б сказав, що виправлення для захисту від цієї загрози будуть випущені за кілька годин або щонайбільше днів.