jueves, 25 de abril de 2024

Vulnerabilidad grave en GNU C Library (glibc) de 24 años de antigüedad afecta PHP

Después de la alarma con el backdoor introducido en XZ Utils, llega esta vulnerabilidad grave de 24 años de antigüedad en GNU C Library (glibc). La vulnerabilidad afecta desde la versión 2.1.93 hasta las versiones anteriores a la 2.40.




Descubierta por el investigador Charles Fol (aka cfreal), consiste en un "Buffer overflow" en la funcion iconv(), utilizada para conversión de caracteres, concretamente con la extensión ISO-2022-CN-EXT para caracteres en chino.



Esta vulnerabilidad, identificada como CVE-2024-2961 (CVSS 8.8 por ahora), puede llegar a suponer una ejecución de código remoto (RCE). Además, según el mismo investigador, es posible explotar cualquier aplicación PHP con esta vulnerabilidad ya que hace uso de esta librería en todos los sistemas Linux. Según ha explicado, liberará la PoC de explotación en el congreso OffensiveCON (Alemania) en el mes de mayo.

Se recomienda actualizar lo antes posible a la última versión de glibc y seguir atentos a las actualizaciones sobre la vulnerabilidad, ya que no es de extrañar que se descubran explotaciones latentes de la misma o aplicaciones que requieren mitigaciones concretas.

Se puede saber la versión de glibc con los siguientes comandos (Debian):

ldd --version
/lib/x86_64-linux-gnu/libc.so.6

Verificar si se dispone de la versión afectada:

iconv -l | grep -E 'CN-?EXT'

Si la salida es vacía, está todo correcto y no hay que hacer nada más. En cambio, si dá la siguiente salida hay que tomar acciones:

ISO-2022-CN-EXT//
ISO2022CNEXT//

Se puede actualizar u, opcionalmente, se pueden deshabilitar los caracteres afectados editando el siguiente archivo (Debian):

/usr/lib/x86_64-linux-gnu/gconv/gconv-modules-extra.conf

Las principales distribuciones ya han publicado la actualización: Debian, Slackware 15.0 y RedHat 7, 8  y 9 y Fedora.

Fuente: OpenWall


Vía:

https://blog.segu-info.com.ar/2024/04/vulnerabilidad-grave-en-gnu-c-library.html

https://dev.to/garrettmills/mitigating-the-iconv-vulnerability-for-php-cve-2024-2961-44ha

No hay comentarios:

Publicar un comentario