目前網上已經開始出現針對 GNU C 庫動態加載程序中的部分高危漏洞的概念驗證程序����,攻擊者借助這個漏洞可以獲得部分 Linux 發行版的行版 root 權限���。
這個漏洞名為 Looney Tunables,出現重慶外圍空姐(小姐)vx《189-4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達編號為 CVE-2023-4911��,高危T管更新是漏洞理員藍點一個典型的緩沖區溢出漏洞���,主要影響 Debian 12����、可被Debian 13、權限請Ubuntu 22.04�����、盡管Ubuntu 23.04���、部分Fedora 37�、行版重慶外圍空姐(小姐)vx《189-4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達Fedora 38�。出現
攻擊者可以使用由 ld.so 動態加載處理的高危T管更新惡意制作的 GLIBC_TUNABLES 環境變量來觸發漏洞,這樣在 SUID 權限啟動二進制文件時以 root 權限執行任意代碼。漏洞理員藍點
盡管這個漏洞需要攻擊者先獲得 Linux 系統本地訪問權限��,可被不過對開發者和企業來說仍然有很大的權限請危害�,建議盡快升級新版本。
概念驗證程序已經流出:
自本周二研究人員披露該漏洞后,就有漏洞利用專家開始分析該漏洞��,其中已經有概念驗證程序流傳到網上����,而且經過驗證這個概念驗證程序是有效的。
這也意味著黑客可能也已經展開行動,很快就會利用這個漏洞獲得服務器的管理權限����,進而造成更嚴重的危害����。
發現這個漏洞的研究人員也表示��,盡管他們暫時沒有公布漏洞的細節�����,但緩沖區溢出可以輕松轉化為純數據攻擊,這意味著其他研究團隊可能很快就會發現漏洞的細節。
建議使用受影響版本的 Linux 系統的企業和開發者盡快更新系統,避免遭到攻擊者的利用。
