Ubuntu Sunucusunda (sürüm 21.04’ten bu yana) varsayılan olarak yüklenen needrestart paketinde, yerel bir saldırganın kullanıcı etkileşimi gerektirmeden kök ayrıcalıkları kazanmasına izin verebilecek çok sayıda on yıllık güvenlik açığı açıklandı.
Qualys Tehdit Araştırma Birimi (TRU), tespit edildi ve rapor edildi Geçen ayın başlarında kusurlardan yararlanmanın önemsiz olduğunu ve kullanıcıların düzeltmeleri uygulamak için hızlı hareket etmelerini gerektirdiğini söyledi. Güvenlik açıklarının, tercüman desteğinin kullanıma sunulmasından bu yana var olduğuna inanılıyor. 0.8’in yeniden başlatılması gerekiyor27 Nisan 2014’te yayınlandı.
Ubuntu, “Bu yeniden başlatma ihtiyacı duyulan istismarlar, Yerel Ayrıcalık Yükseltmesine (LPE) izin veriyor, bu da yerel bir saldırganın kök ayrıcalıkları kazanabileceği anlamına geliyor.” söz konusu bir danışma belgesinde bunların 3.8 sürümünde ele alındığını belirtti. “Güvenlik açıkları Debian, Ubuntu ve diğer Linux dağıtımlarını etkiliyor.”
Needrestart, sistemin tamamen yeniden başlatılmasını önleyecek şekilde paylaşılan kitaplık güncellemelerini uyguladıktan sonra yeniden başlatılması gereken hizmetleri belirlemek için sistemi tarayan bir yardımcı programdır.
Beş kusur aşağıda listelenmiştir:
- CVE-2024-48990 (CVSS puanı: 7,8) – Yerel saldırganların Python yorumlayıcısını saldırgan tarafından kontrol edilen bir PYTHONPATH ortam değişkeniyle çalıştırma ihtiyacını yeniden başlatarak kandırarak kök olarak rastgele kod yürütmesine olanak tanıyan bir güvenlik açığı
- CVE-2024-48991 (CVSS puanı: 7,8) – Yerel saldırganların bir yarış koşulunu kazanarak ve kendi sahte Python yorumlayıcısını çalıştırarak ihtiyaç yeniden başlatmayı kandırarak kök olarak rastgele kod çalıştırmasına olanak tanıyan bir güvenlik açığı
- CVE-2024-48992 (CVSS puanı: 7,8) – Yerel saldırganların, Ruby yorumlayıcısını saldırgan tarafından kontrol edilen bir RUBYLIB ortam değişkeniyle çalıştıracak şekilde yeniden başlatma ihtiyacını kandırarak kök olarak rastgele kod yürütmesine olanak tanıyan bir güvenlik açığı
- CVE-2024-11003 (CVSS puanı: 7,8) ve CVE-2024-10224 (CVSS puanı: 5.3) – Yerel bir saldırganın, libmodule-scandeps-perl paketindeki bir sorundan yararlanarak kök olarak rastgele kabuk komutları yürütmesine olanak tanıyan iki güvenlik açığı (sürüm 1.36’dan önce)
Yukarıda belirtilen eksikliklerin başarıyla kullanılması, yerel bir saldırganın PYTHONPATH veya RUBYLIB için özel hazırlanmış ortam değişkenleri ayarlamasına olanak tanıyabilir ve bu, needrestart çalıştırıldığında tehdit aktörünün ortamını işaret eden rastgele kod yürütülmesine neden olabilir.
“CVE-2024-10224’te, […] saldırgan tarafından kontrol edilen giriş, Module::ScanDeps Perl modülünün, ‘sinir bozucu bir boruyu’ açarak (örneğin, dosya adı olarak ‘komutlar|’ iletmek gibi) veya eval()’a rastgele dizeler geçirerek rastgele kabuk komutları çalıştırmasına neden olabilir. “diye belirtti Ubuntu.
“Bu tek başına yerel ayrıcalık yükseltme için yeterli değil. Ancak CVE-2024-11003’te needrestart, saldırgan tarafından kontrol edilen girişi (dosya adları) Module::ScanDeps’e aktarır ve CVE-2024-10224’ü kök ayrıcalığıyla tetikler. CVE-2024-11003, needrestart’ın Module::ScanDeps’e olan bağımlılığını ortadan kaldırır.”
En son yamaları indirmeniz önemle tavsiye edilirken Ubuntu, kullanıcıların ihtiyaç halinde tercüman tarayıcıları devre dışı bırakabileceğini, geçici bir hafifletme olarak yapılandırma dosyasını yeniden başlatabileceğini ve güncellemeler uygulandıktan sonra değişikliklerin geri alınmasını sağlayabileceğini söyledi.
Qualys’teki TRU ürün müdürü Saeed Abbasi, “Needrestart yardımcı programındaki bu güvenlik açıkları, needrestart’ın genellikle kök kullanıcı olarak çalıştırıldığı paket kurulumları veya yükseltmeleri sırasında rastgele kod çalıştırarak yerel kullanıcıların ayrıcalıklarını yükseltmelerine olanak tanıyor” dedi.
“Bu güvenlik açıklarından yararlanan bir saldırgan, kök erişimi elde ederek sistem bütünlüğünü ve güvenliğini tehlikeye atabilir.”