Am 30. Januar haben Sicherheitsexperten Informationen über eine Sicherheitslücke veröffentlicht, die sie in der glibc (GNU C Library) entdeckt haben und die es Angreifern ermöglichen könnte, ihre Privilegien auf Linux-Systemen auf die Root-Ebene zu erhöhen. Die Bibliothek stellt Systemaufrufe und grundlegende Systemfunktionen zur Verfügung – darunter syslog und vsyslog, mit denen Nachrichten in das Systemmeldungsprotokoll geschrieben werden. Die Schwachstelle hat die Kennung CVE-2023-6246 und eine Bewertung von 8.4 auf der CVSS v3.1-Skala erhalten. Obwohl der Grad dieser Bedrohung nicht kritisch, sondern nur hoch ist, besteht eine hohe Wahrscheinlichkeit, dass sie in groß angelegten Angriffen ausgenutzt wird, da glibc die wichtigste Systembibliothek ist, die von fast allen Linux-Programmen verwendet wird.
Welche Systeme sind von CVE-2023-6246 betroffen?
Die Experten von Qualys, die die Sicherheitslücke entdeckten, testeten eine Reihe beliebter Linux-basierter Systeminstallationen und identifizierten mehrere anfällige Systeme: Debian 12 und 13, Ubuntu 23.04 und 23.10 sowie Fedora Linux Versionen 37 bis 39. Allerdings fügen die Experten hinzu, dass wahrscheinlich auch andere Distributionen von dieser Sicherheitslücke betroffen sind. CVE-2023-6246 ist in der Bibliotheksversion 2.36 und älter vorhanden. Die glibc-Entwickler haben die Schwachstelle in Version 2.39 am 31. Januar behoben – einen Tag nachdem die Informationen darüber veröffentlicht wurden.
Was verbirgt sich hinter der Sicherheitslücke CVE-2023-6246 und woher stammt sie?
Die Sicherheitslücke CVE-2023-6246 steht im Zusammenhang mit einem dynamischen Speicherpufferüberlauf und gehört zur Klasse der LPE (Local Privilege Escalation). Vereinfacht ausgedrückt, kann ein Angreifer, der bereits über Benutzerzugriff auf ein System verfügt, anfällige Funktionsaufrufe verwenden, um seine Privilegien auf die Superuser-Ebene zu erweitern.
Diese Sicherheitslücke wurde der Bibliothek erstmals in Version 2.37 im August 2022 hinzugefügt, um die weniger gefährliche Sicherheitslücke CVE-2022-39046 zu schließen. Anschließend haben die Entwickler der Bibliothek die gleiche Änderung in Version 2.36 vorgenommen.
So bleiben Sie sicher
Zuerst müssen Sie die glibc-Bibliothek auf Version 2.39 aktualisieren. Da Angreifer bereits Zugriff auf das System haben müssen, um diese Sicherheitslücke (und alle LPE-Schwachstellen im Allgemeinen) auszunutzen, wird CVE-2023-6246 höchstwahrscheinlich in komplexen, mehrstufigen Angriffen verwendet werden. Wir empfehlen daher die Verwendung von Lösungen, die auch Linux schützen können. Unsere Lösung Kaspersky Endpoint Security enthält zum Beispiel die Anwendung Kaspersky Endpoint Security für Linux, die moderne Bedrohungen für Linux-basierte Systeme abwehrt.