Prema podacima Qualys Threat Research Unit (TRU), dva propusta u otkrivanju informacija identifikovana su u apport i systemd-coredump , obrađivačima osnovnih podataka u Ubuntuu, Red Hat Enterprise Linuxu i Fedori.
Obje ranjivosti , označene kao CVE-2025-5054 i CVE-2025-4598 , predstavljaju greške u uslovima utrke (ratke condition) koje bi mogle omogućiti lokalnom napadaču pristup osjetljivim informacijama. Alati poput Apport i systemd-coredump dizajnirani su za obradu izvještavanja o padovima sistema i osnovnih podataka (core dump) u Linux sistemima.
„Ovi uslovi trke omogućavaju lokalnom napadaču da iskoristi SUID program i dobije pristup za čitanje rezultirajućeg core dumpa“, rekao je Saeed Abbasi, menadžer proizvoda u Qualys TRU .
Kratak opis dva nedostatka je u nastavku –
- CVE-2025-5054 (CVSS rezultat: 4,7) – Uslov trke u Canonical apport paketu do verzije 2.32.0 (uključujući i verziju) koji omogućava lokalnom napadaču da otkrije osjetljive informacije putem ponovne upotrebe PID-a iskorištavanjem imenskih prostora.
- CVE-2025-4598 (CVSS rezultat: 4.7) – Uslov utrke u systemd-coredump-u koji omogućava napadaču da prisili SUID proces da se sruši i zamijeni ga binarnom datotekom koja nije SUID kako bi pristupio originalnom privilegovanom coredump-u procesa, omogućavajući napadaču da čita osjetljive podatke, kao što je sadržaj /etc/shadow, koje je učitao originalni proces.
SUID, skraćenica od Set User ID (Postavi korisnički ID), je posebna dozvola za datoteku koja korisniku omogućava izvršavanje programa s privilegijama njegovog vlasnika, a ne s vlastitim dozvolama.
„Prilikom analize rušenja aplikacije, apport pokušava otkriti da li se proces rušenja izvršavao unutar kontejnera prije nego što izvrši provjere konzistentnosti“, rekao je Octavio Galland iz Canonicala.
“To znači da ako lokalni napadač uspije izazvati pad sistema u privilegovanom procesu i brzo ga zamijeni drugim procesom s istim ID-om koji se nalazi unutar imenskog prostora za mount i pid, apport će pokušati proslijediti osnovni dump (koji može sadržavati osjetljive informacije koje pripadaju originalnom, privilegovanom procesu) u imenski prostor.”
Red Hat je saopštio da je CVE-2025-4598 ocijenjen kao umjereno ozbiljan zbog velike složenosti iskorištavanja ranjivosti, napominjući da napadač prvo mora provjeriti uvjet utrke i posjedovati neprivilegirani lokalni račun.
Kao mjere ublažavanja, Red Hat je rekao da korisnici mogu pokrenuti naredbu “echo 0 > /proc/sys/fs/suid_dumpable” kao root korisnik kako bi onemogućili sistem da generiše core dump za SUID binarne datoteke.
Parametar “/proc/sys/fs/suid_dumpable” u suštini kontroliše da li SUID programi mogu generisati izvode osnovnih podataka prilikom pada sistema. Postavljanjem na nulu, onemogućava izvode osnovnih podataka za sve SUID programe i sprečava njihovu analizu u slučaju pada sistema.
„Iako ovo ublažava ovu ranjivost, a nije moguće ažurirati systemd paket, onemogućava mogućnost analize rušenja sistema za takve binarne datoteke“, saopštio je Red Hat .
Slična upozorenja izdali su Amazon Linux , Debian i Gentoo . Vrijedi napomenuti da Debian sistemi nisu podložni CVE-2025-4598 po defaultu, jer ne uključuju nikakav program za obradu izvatka jezgra osim ako se paket systemd-coredump ne instalira ručno. CVE-2025-4598 ne utiče na izdanja Ubuntua.
Qualys je takođe razvio kod za provjeru koncepta (PoC) za obje ranjivosti, demonstrirajući kako lokalni napadač može iskoristiti coredump srušenog unix_chkpwd procesa, koji se koristi za provjeru valjanosti korisničke lozinke, kako bi dobio heševe lozinke iz datoteke /etc/shadow.
Canonical je u vlastitom upozorenju naveo da je utjecaj CVE-2025-5054 ograničen na povjerljivost memorijskog prostora pozvanih SUID izvršnih datoteka i da PoC exploit može procuriti heširane korisničke lozinke, što ima ograničen utjecaj na stvarni svijet.
„Iskorištavanje ranjivosti u Apportu i systemd-coredump-u može ozbiljno ugroziti povjerljivost s visokim rizikom, jer napadači mogu izvući osjetljive podatke, poput lozinki, ključeva za šifriranje ili informacija o kupcima iz osnovnih podataka“, rekao je Abbasi.
“Posljedice uključuju operativne zastoje, štetu po ugled i potencijalno nepoštivanje propisa. Da bi se ovi višestruki rizici efikasno ublažili, preduzeća bi trebala usvojiti proaktivne sigurnosne mjere davanjem prioriteta zakrpama i ublažavanju rizika, provođenjem robusnog praćenja i pooštravanjem kontrola pristupa.”
Izvor:The Hacker News
