進而造成更嚴重的危害。而且經過驗證這個概念驗證程序是有效的。
這也意味著黑客可能也已經展開行動,
發現這個漏洞的研究人員也表示,
很快就會利用這個漏洞獲得服務器的管理權限,目前網上已經開始出現針對 GNU C 庫動態加載程序中的高危漏洞的概念驗證程序,Fedora 38。是一個典型的緩衝區溢出漏洞,避免遭到攻擊者的利用。建議盡快升級新版本。這意味著其他研究團隊可能很快就會發現漏洞的細節。編號為 CVE-2023-4911,主要影響 Debian 12、Ubuntu 23.04、
這個漏洞名為 Looney Tunables,但緩衝區溢出可以輕鬆轉化為純數據攻擊,就有漏洞利用專家開始分析該漏洞,
盡管這個漏洞需要攻擊者先獲得 Linux 係統本地訪問權限,Fedora 37、盡管他們暫時沒有公布漏洞的細節,攻擊者借助這個漏洞可以獲得部分 Linux 發行版的 root 權限。
攻擊者可以使用由 ld.so 動態加載處理的惡意製作的 GLIBC_TUNABLES 環境變量來觸發漏洞,其中已經有概念驗證程序流傳到網上,
概念驗證程序已經流出:
自本周二研究人員披露該漏洞後,不過對開發者和企業來說仍然有很大的危害,Debian 13、這樣在 SUID 權限啟動二進製文件時以 root 權限執行任意代碼。Ubuntu 22.04、
建議使用受影響版本的 Linux 係統的企業和開發者盡快更新係統,
