CVE-2023-6246 – GNU C Kütüphanesindeki Kritik Güvenlik Zafiyetleri ve Olası Etkileri
Qualys Tehdit Araştırma Ekibi, GNU C Kütüphanesi (glibc) içinde dört önemli güvenlik zafiyeti tespit etti. Bunlardan biri, CVE-2023-6246 olarak kodlanan ve yığın-tabanlı bir arabellek taşmasına yol açan bir güvenlik açığıdır.
GNU C Kütüphanesi (glibc), Linux ve Unix benzeri işletim sistemlerinde kritik sistem servisleri sunan ücretsiz bir yazılım kütüphanesidir.
Bu güvenlik açığı, glibc’nin syslog işlevinde bulunmakta. Saldırganlar, bu açığı kullanarak ayrıcalık yükselterek kök (root) erişimi eldebilmektedir.
Araştırmacılar, bu güvenlik açığının uzaktan istismar edilemeyeceğini belirtiyor.
Saldırganlar, bu günlük işlevlerini kullanan uygulamalara özel olarak hazırlanmış girdiler sağlayarak sorunu tetikleyebilmektedir. Araştırmacılar, glibc’nin Linux işletim sistemi dağıtımlarının büyük çoğunluğunda bulunduğuna dikkat çekiyor.
Etkilenen Sistemler:
- Debian 12
- Debian 13
- Ubuntu 23.04
- Ubuntu 23.10
- Fedora 37-39
Araştırmacıların yürüttüğü testler belirli sayıda işletim sistemi sürümleriyle sınırlı kalsa da, bu güvenlik açıklarının “muhtemelen diğer versiyonlarda da istismar edilebileceğini” belirtmeleri önemli bir detay.
Bu zafiyet, glibc 2.36 ve daha yeni sürümlerini etkilemektedir.
