
Répertoriée sous le nom de CVE-2023-6246 (score CVSS : 7.8), la vulnérabilité de débordement de mémoire tampon basée sur le tas est ancrée dans la fonction __vsyslog_internal() de la glibc, qui est utilisée par syslog() et vsyslog() à des fins de journalisation du système. Elle aurait été introduite accidentellement en août 2022 avec la publication de la version 2.37 de la glibc.
"Cette faille permet une escalade locale des privilèges, permettant à un utilisateur non privilégié d'obtenir un accès complet à la racine", a déclaré Saeed Abbasi, chef de produit de l'unité de recherche sur les menaces chez Qualys, ajoutant qu'elle affecte les principales distributions Linux telles que Debian, Ubuntu et Fedora.
Un acteur menaçant pourrait exploiter la faille pour obtenir des autorisations élevées via des entrées spécialement conçues pour les applications qui utilisent ces fonctions de journalisation. "Bien que la vulnérabilité nécessite des conditions spécifiques pour être exploitée (telles qu'un argument argv[0] ou openlog() anormalement long), son impact est significatif en raison de l'utilisation répandue de la bibliothèque affectée", a noté M. Abbasi.
La société de cybersécurité a déclaré qu'une analyse plus poussée de la glibc avait permis de découvrir deux autres failles dans la fonction __vsyslog_internal() (CVE-2023-6779 et CVE-2023-6780) et une troisième dans la fonction qsort() de la bibliothèque, qui peut entraîner une corruption de la mémoire. La vulnérabilité trouvée dans qsort() a affecté toutes les versions de la glibc publiées depuis 1992.
Ce développement intervient près de quatre mois après que Qualys ait détaillé une autre faille de haute sévérité dans la même bibliothèque appelée Looney Tunables (CVE-2023-4911, CVSS score : 7.8) qui pourrait entraîner une escalade des privilèges. "Ces failles soulignent le besoin critique de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques de base largement utilisées dans de nombreux systèmes et applications", a déclaré M. Abbasi.
Sources : Détail de la faille "CVE-2023-6246", Rapport de Qualys
Et vous ?

Voir aussi :



Vous avez lu gratuitement 529 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.