Részben azért, mert ha túllépjük a 3%-os piaci részesedést, az alig, és a Steam Deck-nek köszönhetően a Linux-felhasználók általában nem olvasnak olyan híreket, mint amilyeneket ma közölünk. De attól, hogy valami általában nem történik meg, még nem jelenti azt, hogy soha nem is történik meg. Vannak sérülékenységek, amelyeket a kernelben találtak, és a javítások hamarosan megérkeznek, de vannak olyanok is, amelyek más összetevőkben vannak, amelyeket szintén használunk, és valami ilyesmi kihasználja azt, amit az ún. Looney Tunables.
A sebezhetőség lehetővé teszi a helyi támadó szuperfelhasználói (root) jogosultságokat szerezhet a GNU C könyvtár ld.so dinamikus betöltőjének puffertúlcsordulási gyengeségének kihasználásával. Ez a könyvtár, ismertebb nevén glibc, a GNU rendszerek és a leginkább a Linux kernelen alapul. Alapvető funkciókat biztosít, beleértve az olyan rendszerhívásokat, mint az open, malloc, printf, exit és mások.
A Looney Tunables veszélyes, de helyi hozzáférés szükséges
A Qualys Threat Research Unit fedezte fel, és ez egy sebezhetőség 2021 áprilisában mutatták be glibc 2.34 mellett. A kód, amellyel ez ismert, a CVE-2023-4911, és lehetővé teszi a jogosultságok kiterjesztését, hogy a támadó szabadon átjárhassa az operációs rendszert. Természetesen fizikai hozzáférés szükséges; nem lehet távolról kihasználni.
Az érintett operációs rendszerek számtalan, a listán a Debian 12 és 13, a Fedora 37 és 38 és minden, ami ezeken alapul. Az Ubuntu ezen a listán szereplő verziói az utolsó két stabil verzió, amelyek továbbra is támogatást élveznek. Ubuntu 22.04 és 23.04. Szó sincs sem korábbiról, sem a jövő héten megjelenő 23.10-ről, bár a Debian 13-at említik, melynek stabil verziója 2025-ben érkezik. Az Alpine Linuxot ez nem érinti, mivel musl libc-t használ.
A legjobb, amit tehetünk, hogy megvédjük magát ettől és a Linux egyéb biztonsági hibáitól az operációs rendszer mindig jól frissítve legyen. Most, hogy nyilvánosságra hozták, azt mondanám, órák, de legfeljebb napok kérdése, hogy megjelenjenek a javítások a fenyegetés ellen.