Apesar de não ser muito comum, às vezes lá aparece uma impactante vulnerabilidade nos sistemas GNU/Linux. Desde vez, foi descoberto um bug, batizado já com o nome Looney Tunables, que permite que um utilizador normal ganhe privilégios de root. Saiba quais os sistemas afetados.
Looney Tunables: A vulnerabilidade que permite escalonamento de privilégios…
A falha que foi descoberta representa um risco significativo de acesso não autorizado a dados, alterações de sistema, possível roubo de dados e controlo total dos sistemas vulneráveis, especialmente em sistemas do mundo da Internet das Coisas.
Fedora, Ubuntu e Debian são os sistemas que têm maior risco com o bug (CVE-2023-4911 CVSS 7.8), segundo revelaram investigadores da Qualys numa publicação no blog oficial no passado dia 3 de outubro. Segundo as informações, o Debian 12 e 13, Ubuntu 22.04 e 23.04, e Fedora 37 e 38 são a versões mais críticas, mas devem haver outras menos populares com o mesmo problema.
De acordo com a informação, o bug encontra-se ao nível da Glibc que é uma biblioteca que define as chamadas de sistema e outras funcionalidades básicas, como open, malloc, printf, exit, etc. A vulnerabilidade ocorre na forma como o carregador dinâmico da glibc processa a variável de ambiente GLIBC_TUNABLES (sendo daqui o nome do bug).
O Looney Tunables é a mais recente falha que aumenta a lista vulnerabilidades de escalonamento de privilégios que foram descobertas no Linux nos últimos anos, incluindo CVE-2021-3156 (Baron Samedit), CVE-2021-3560 , CVE-2021-33909 (Sequoia), e CVE-2021-4034 (PwnKit), que pode ser transformado numa “arma” para obter permissões elevadas.