Milyonlarca Linux sistemini potansiyel olarak yerel ayrıcalık yükseltme saldırılarına maruz bırakarak GNU C Kütüphanesi’nde (GlibC) kritik bir güvenlik açığı.
CVE-2025-4802 olarak izlenen ve 16 Mayıs 2025’te kamuya açıklanan bu güvenlik açığı, saldırganların LD_LIBRARY_PATH ortam değişkenini manipüle ederek keyfi kod yürütmesine izin verebilir.
Rocky Linux, Debian, Ubuntu ve GLIBC sürümleri 2.27-2.38 ile diğer büyük Linux dağıtımlarını çalıştıran sistemler potansiyel olarak etkilenir.
.png
)
Kritik Glibc güvenlik açığı
Kusur, dlopen () işlevini SetLocale () veya GetAddRInfo () gibi ağ güvenlik hizmetleri (NSS) işlevleri aracılığıyla doğrudan veya dolaylı olarak adlandıran statik olarak bağlantılı setuid ikili dosyalarını etkiler.
Normalde, setuid ikili dosyaları güvenlik nedeniyle ld_library_path gibi çevresel değişkenleri görmezden gelir, ancak bu güvenlik açığı bu korumayı atlatır.
Resmi GlibC Güvenlik Danışmanlığı, “Dlopen’i çağıran statik olarak bağlantılı bir setuid ikili, hangi kütüphanenin yükleneceğini belirlemek için LD_LIBRARY_PATH’ı yanlış arayabilir ve saldırgan kontrollü kütüphane kodunun yürütülmesine yol açabilir” diyor.
Güvenlik açığı, 2017 yılında Toomt 10E93D968716AB82931D593BADA121C17C0A4B93 tarafından tanıtıldı ve Ocak 2023’te GLIBC 2.39’a dahil edilen 5451fa962cd0a90a0e2ec1d8910a559ace02bba0 ile sabitlendi.
Kavram kanıtı
Güvenlik Araştırmacı Solar Designer, güvenlik açığını gösteren bir test vakasını kamuya açıkladı ve paylaştı:
Paylaşılan bir kütüphaneye derlendiğinde ve LD_LIBRARRY_PATH tarafından belirtilen bir dizine yerleştirildiğinde, bu kod savunmasız programlar tarafından yüklenebilir ve potansiyel olarak yüksek ayrıcalıklarla keyfi kod yürütülmesine izin verir.
Güvenlik danışmanlığı, “yayıncılık sırasında böyle bir program bulunmadığını” belirtse de, güvenlik açığı ile ilgili kalır, çünkü özel setuid programları, bir güvenlik uygulaması olarak cesareti kırılmış olsa da, kurumsal ortamlarda yaygındır.
Bu, hatayı, özellikle miras veya özel olarak inşa edilmiş statik ikili ortamlarda düşük olasılık ancak yüksek etkili bir güvenlik açığı haline getirir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Glibc 2.27 (2018) ila 2.38 (2023) |
| Darbe | Keyfi Kod Sözleşmesi |
| Önkoşuldan istismar | 1. Yerel Erişim 2. Dlopen () kullanarak statik setuid ikili varlığı 3. LD_LIBRARY_PATH dizinlerine erişim yazın |
| CVSS 3.1 puanı | 9.8 (kritik) |
Azaltma stratejileri
Sistem yöneticileri aşağıdaki eylemlere öncelik vermelidir:
- GLIBC’yi bu güvenlik açığı için düzeltmeyi içeren 2.39 veya sonraki sürümlere güncelleyin.
- Linux dağıtım satıcınızdan mevcut güvenlik yamalarını uygulayın.
- Statik olarak bağlantılı setuid ikili dosyaları, özellikle özel uygulamalar için denetim sistemleri.
- Selinux veya apparmor kullanarak ek erişim kontrolleri uygulamayı düşünün.
- Sistemler arasında setuid ikili kullanımlarını gözden geçirin ve en aza indirin.
Eski Linux dağıtımlarını kullanan kuruluşlar, GliBC 2.27’nin piyasaya sürüldüğü 2017’ye kadar uzanan sistemleri etkilediğinden, bu güvenlik açığını ele alan geri portlu yamalar için satıcılarıyla kontrol etmelidir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri