En parte porque si superamos el 3% de cuota de mercado es por poco y gracias a la Steam Deck, los usuarios de Linux no solemos leer ni preocuparnos por noticias como la que os traemos hoy. Pero que algo no suela pasar no significa que no pase nunca. Hay vulnerabilidades que se encuentran en el kernel, y los parches llegan pronto, pero hay otras que están en otros componentes que también usamos, y algo así es lo que explota lo que se ha dado a conocer como Looney Tunables.
La vulnerabilidad permite a un atacante local conseguir privilegios de súper-usuario (root) explotando una debilidad de desbordamiento de búfer en el cargador dinámico ld.so de la biblioteca GNU C. Esta librería, más conocida como glibc, es la librería C de los sistemas GNU y la mayoría de los basados en el kernel de Linux. Proporciona funcionalidades esenciales, entre lo que se incluyen llamadas del sistema como open, malloc, printf, exit y otras.
Looney Tunables es peligrosa, pero se requiera acceso local
Fue descubierta por Qualys Threat Research Unit, y es una vulnerabilidad que se introdujo en abril de 2021 junto a glibc 2.34. El código con el que se conoce es CVE-2023-4911, y puede permitir escalada de privilegios para que el atacante pueda campar a sus anchas por el sistema operativo. Eso sí, se requiere acceso físico; no se puede explotar de forma remota.
Los sistemas operativos afectados son innumerables, y en la lista están Debian 12 y 13, Fedora 37 y 38 y todo lo que esté basado en ellos. Las versiones de Ubuntu que han sido incluidas en esta lista son las dos últimas estables que aún disfrutan de soporte, que son Ubuntu 22.04 y 23.04. No se menciona ninguna anterior ni el 23.10 que saldrá la semana que viene, a pesar de que sí se menciona Debian 13 cuya versión estable llegará en 2025. No está afectado Alpine Linux, ya que usa musl libc.
Para protegerse de este y otros fallos de seguridad en Linux, lo mejor que podemos hacer es tener siempre bien actualizado el sistema operativo. Ahora que se ha hecho público, diría que es cuestión de horas, o como mucho días, que se lancen los parches para protegerse de esta amenaza.