Güvenlik araştırmacıları, GNU C Kütüphanesi’nde (GLIBC) önemli bir güvenlik açığı açıkladı ve bu da dünya çapında milyonlarca Linux sistemini etkiledi.
CVE-2025-4802 olarak tanımlanan kusur, kütüphane yollarını yanlış arayan statik olarak bağlantılı setuid ikili dosyaları içerir ve potansiyel olarak saldırganların yüksek ayrıcalıklarla kötü amaçlı kod yürütmesine izin verir.
Vahşi doğada herhangi bir sömürü bildirilmemesine rağmen, güvenlik topluluğu sistem yöneticilerini, güvenlik açığı GLIBC’nin 2,27’den 2.38’e birden fazla versiyonunu etkilediğinden, işletme ve tüketici ortamlarında yıllarca konuşlandırılan sistemleri temsil ettiği için hemen yamalar uygulamaya çağırıyor.
.png
)
Güvenlik açığı, özellikle dlopen işlevselliği olarak adlandırılan statik olarak bağlantılı setuid ikili dosyalarını hedefler.
Yüksek ayrıcalıklarla yürütülen bu ikili dosyalar, güvenlik en iyi uygulamaları dikte ettiği gibi, potansiyel olarak kullanıcı kontrollü yolu göz ardı etmek yerine, hangi kütüphanenin yükleneceğini belirlerken LD_LIBRARRY_PATH ortam değişkenini yanlışlıkla arayabilir.
Teknik sorun, bu ayrıcalıklı programların, SetLocale veya Name Hizmet Anahtarı (NSS) işlevlerini GetAddRrinfo dahil olmak üzere belirli işlemler gerçekleştikten sonra dinamik kütüphane yüklemesini nasıl ele aldığı konusunda yatmaktadır.
Normal güvenlik işlemlerinde, SETUID programları, ayrıcalıklı kullanıcılar tarafından manipüle edilebilecek ortam değişkenlerini göz ardı etmelidir.
Bununla birlikte, bu güvenlik açığı, statik olarak bağlantılı programların bile dlopen işlemleri sırasında LD_LIBRARY_PATH ayarını yanlış onurlandırabileceği bir durum yaratır.
Bu davranış, ayrıcalıklı ve bozuk kod yürütme bağlamları arasındaki güvenlik sınırını bozarak, LD_LIBRARY_PATH tarafından referans verilen yollara kötü niyetli kütüphaneleri yerleştirebilen yerel saldırganlar için bir ayrıcalık fırsatı yaratır.
Saldırı vektörleri ve sömürü senaryoları
GLIBC Danışmanlığı, ifşa sırasında hiçbir savunmasız setuid programının tanımlanmadığını not etmekle birlikte, sömürü potansiyeli ile ilgilidir.
Birincil saldırı vektörü, bir saldırganın LD_LIBRARY_PATH ortam değişkeni tarafından belirtilen bir yere kötü niyetli bir paylaşılan kütüphane yerleştirmesi gereken hedef sisteme yerel erişim gerektirir.
Savunmasız bir setuid ikili yürüttüğünde ve dinamik bir kütüphane yüklemeye çalıştığında, saldırganın kötü amaçlı kodunu yanlışlıkla yüksek ayrıcalıklarla yükleyebilir.
Güvenlik uzmanları, bir güvenlik uygulaması olarak cesareti kırılmış olsa da, özel setuid programlarının eski operasyonlar veya özel sistem yönetimi için kurumsal ortamlarda nispeten yaygın olduğunu belirtiyor.
Bu programlar dinamik kütüphane yükleme işlemleri gerçekleştirirse, özel setuid ikili işler geliştiren kuruluşlar özellikle savunmasız olabilir.
Risk arttırılır, çünkü birçok yönetici statik olarak bağlantılı setuid programlarının bu tür saldırılara karşı savunmasız olabileceğini fark etmeyebilir, çünkü statik olarak bağlantılı ikili dosyalar genellikle dinamik kütüphane bağımlılıklarından kaçınmak için uygulanır.
Azaltma stratejileri ve güvenlik yanıtı
Güvenlik açığı GliBC sürüm 2.39’da 5451fa962CD0A90A0E2EC1D8910A5559ACE02BBA0 aracılığıyla ele alınmıştır.
Linux dağıtımları şu anda paket depolarına yamalar sunuyor. Sistem yöneticilerine, özellikle bilinen setuid ikili dosyaları olan sistemlerde veya ayrıcalık ayrımının kritik olduğu çok kullanıcı ortamlarındaki sistemlerde temel sistem kütüphanelerine güncellemelere öncelik vermeleri tavsiye edilir.
Hemen yamalanamayan sistemler için, güvenlik uzmanları, özellikle statik olarak bağlantılı olabilecek herhangi bir şeylere odaklanarak, setuid ikili dosyalarının bir denetimini yapmanızı önerir.
Bu ikili dosyalara erişimi geçici olarak kısıtlamak veya ek erişim kontrollerinin uygulanması geçici koruma sağlayabilir.
Ayrıca, kuruluşlar PAM yapılandırmaları veya konteyner güvenlik politikaları aracılığıyla özel LD_LIBRARRY_PATH ayarlarında sistem çapında kısıtlamalar uygulamayı düşünmelidir.
Güvenlik topluluğu ayrıca bu güvenlik açığının, devam eden güvenlik zorluklarının SETUID ikili dosyalarıyla altını çizdiğini vurgulamaktadır ve kuruluşların, özellikle daha ayrıntılı ayrıcalık kontrolleri sağlayan yeteneklere dayalı alternatifler dikkate alınarak, daha geniş güvenlik sertleştirme çabalarının bir parçası olarak bu tür ayrıcalıklı programları kullanmalarını önermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!