Otkrivene ranjivosti u Linux distribucijama: Upozorenje za korisnike
Uvod
Istraživači iz Qualys-a identificirali su dvije značajne ranjivosti povezane s curenjem informacija koje utječu na različite Linux distribucije. Ove ranjivosti, poznate kao greške u uvjetima utrke, omogućuju napadačima pristup osjetljivim podacima. Detaljno ćemo istražiti što to znači za korisnike ovih sustava i koje korake treba poduzeti kako bi se zaštitili.
Ranjivosti i pogođene distribucije
Prva ranjivost, označena kao CVE-2025-5054, pronađena je u osnovnom upravljaču srušenih procesa u Ubuntu sustavu, poznatom kao Apport. Druga ranjivost, označena kao CVE-2025-4598, odnosi se na zadani upravljač srušenih procesa na Red Hat Enterprise Linux verzijama 9 i 10, kao i na Fedori.
Među saznanjima istraživača, Apport automatski prikuplja podatke o srušenim aplikacijama i sistemske informacije, dok systemd-coredump pohranjuje informacije o srušenim procesima za kasniju analizu.
Pogođene verzije
– **Apport**: Verzije do 2.33.0 su ranjive, uključujući sve Ubuntu izdanje od verzije 16.04 pa nadalje. Konkretno, Ubuntu 24.04 je također ranjiv.
– **Systemd-coredump**: Fedora verzije 40/41, Red Hat Enterprise Linux 9 i nedavno objavljeni RHEL 10 su pogođeni.
Prema podacima iz Qualys-a, sustavi Debian nisu ranjivi po zadanom, jer ne uključuju upravljače za srušene procese.
Kako napadači mogu iskoristiti ove ranjivosti
Ranjivosti omogućuju napadačima da izazovu pad privilegiranog procesa, a zatim brzo zamijene srušeni proces prije nego što upravljač srušenim procesima reagira. Na taj način mogu pristupiti informacijama iz core dump-a, koji mogu sadržavati osjetljive podatke, poput lozinki.
Osim toga, s obzirom na to da systemd-coredump ne provjerava ispravno “dumpable” oznaku po procesu, napadači mogu izazvati pad root daemon-a i promijeniti UID na svoj korisnički ID, omogućujući im pristup osjetljivoj memoriji kritičnih procesa.
Preporučeni sigurnosni koraci
Qualys je razvio konceptualni dokaz (PoC) za obje ranjivosti i preporučuje nekoliko sigurnosnih mjera koje bi sistemski administratori trebali poduzeti:
- Osigurati da su core dump-ovi sigurno pohranjeni.
- Provoditi strogu provjeru PID-a.
- Postaviti ograničenja na pristup SUID/SGID core datotekama.
Za više detalja o mogućim mjerama zaštite i naredbama koje treba izvršiti kako bi se osigurala infrastruktura, možete posjetiti sljedeći link.
Zaključak
Ove otkrivene ranjivosti naglašavaju važnost stalnog praćenja i ažuriranja sigurnosnih protokola na Linux sustavima. Korisnici bi trebali biti svjesni potencijalnih prijetnji i poduzeti odgovarajuće korake za zaštitu svojih podataka. Biti informiran i proaktivan ključ su sigurnosti u digitalnom svijetu.
