Allarme sicurezza: criticità rilevate in GNU C library

Una vulnerabilità critica è stata individuata nella GNU C Library (glibc) che preoccupa gli ambienti informatici. Etichettata come CVE-2023-6246, la lacuna rilevata interessa la funzione "__vsyslog_internal()" di glibc e potenzialmente permette a un attaccante di elevarsi a privilegi root. Introdotto nella versione 2.36, il baco è proseguito sino alla versione 2.37, dove veniva trattato il CVE-2022-39046.

Impatto della vulnerabilità sui sistemi Linux

Il campo di azione di questo difetto si estende su significative distribuzioni Linux, inclusi Debian nelle versioni 12 e 13, Ubuntu nelle release 23.04 e 23.10 e Fedora dal rilascio 37 al 39. La comunità scientifica ammette che, nonostante il focus su queste distribuzioni, altri sistemi Linux potrebbero trovarsi in pericolo, a causa dell'ampio utilizzo di glibc.

Altre falle di sicurezza in glibc rivelate

In aggiunta a CVE-2023-6246, i ricercatori di sicurezza hanno individuato ulteriori debolezze in glibc, con due di queste localizzate nella medesima funzione "__vsyslog_internal()" (identificate come CVE-2023-6779 e CVE-2023-6780) e una vulnerabilità legata alla corruzione di memoria nella funzione "qsort()". Qualys, l'azienda che ha scoperto queste criticità, ha enfatizzato a più riprese l'importanza di sicurezza informatica estrema in biblioteche software largamente distribuite come glibc.

Storia e implicazioni delle vulnerabilità in Linux

La lista delle scoperte di Qualys in termini di vulnerabilità di sistema Linux è lunga e comprende diverse altre falle significative che hanno minacciato la sicurezza degli utenti. Tra queste figurano un bug nel loader dinamico di glibc, una falla nel componente pkexec di Polkit, un difetto nel filesystem kernel e una vulnerabilità in Sudo. Di conseguenza, l'attenzione verso la mantenenza della sicurezza nei sistemi Linux non può venir meno alla luce di problemi della portata appena esplorata.