Canal de Telegram

24 abr 2024

Segu-Info » , » Vulnerabilidad grave en GNU C Library (glibc) de 24 años de antigüedad afecta PHP

Vulnerabilidad grave en GNU C Library (glibc) de 24 años de antigüedad afecta PHP

24 abr 2024, 8:07:00 a.m.   4 comentarios
  ,  

Después de la alarma con el backdoor introducido en XZ Utils, llega esta vulnerabilidad grave de 24 años de antigüedad en GNU C Library (glibc). La vulnerabilidad afecta desde la versión 2.1.93 hasta las versiones anteriores a la 2.40.

Descubierta por el investigador Charles Fol (aka cfreal), consiste en un "Buffer overflow" en la funcion iconv(), utilizada para conversión de caracteres, concretamente con la extensión ISO-2022-CN-EXT para caracteres en chino.

Esta vulnerabilidad, identificada como CVE-2024-2961 (CVSS 8.8 por ahora), puede llegar a suponer una ejecución de código remoto (RCE). Además, según el mismo investigador, es posible explotar cualquier aplicación PHP con esta vulnerabilidad ya que hace uso de esta librería en todos los sistemas Linux. Según ha explicado, liberará la PoC de explotación en el congreso OffensiveCON (Alemania) en el mes de mayo.

Se recomienda actualizar lo antes posible a la última versión de glibc y seguir atentos a las actualizaciones sobre la vulnerabilidad, ya que no es de extrañar que se descubran explotaciones latentes de la misma o aplicaciones que requieren mitigaciones concretas.

Se puede saber la versión de glibc con los siguientes comandos (Debian): 

ldd --version
/lib/x86_64-linux-gnu/libc.so.6

Verificar si se dispone de la versión afectada:

iconv -l | grep -E 'CN-?EXT'

Si la salida es vacía, está todo correcto y no hay que hacer nada más. En cambio, si dá la siguiente salida hay que tomar acciones: 

ISO-2022-CN-EXT//
ISO2022CNEXT//
Se puede actualizar u, opcionalmente, se pueden deshabilitar los caracteres afectados editando el siguiente archivo (Debian): 
/usr/lib/x86_64-linux-gnu/gconv/gconv-modules-extra.conf

Luego de comentar las líneas del archivo gconv-modules-extra.conf, se recomienda limpiar la caché con el comando iconvconfig. Ver referencia I y II.

Las principales distribuciones ya han publicado la actualización: Debian, Slackware 15.0. Se espera por la corrección de RedHat 7, 8  y 9 y Fedora.

Fuente: OpenWall

Suscríbete a nuestro Boletín

4 comentarios:

  1. Anónimo25 de abril de 2024, 8:22 a.m.

    Después de comentar las líneas del archivo gconv-modules-extra.conf, se recomienda limpiar el caché con el comando iconvconfig. Caso contrario, seguirán viendo los caracteres afectados en la salida del comando iconv -l | grep -E 'CN-?EXT'. Dejo enlace de referencia: https://news.ycombinator.com/item?id=40107388.

    ResponderBorrar
  2. Ricardo25 de abril de 2024, 5:33 p.m.

    El enlace a la correccion de RedHat es incorrecto, manda a un CVE de 2015
    Aun no hay parches disponibles por parte de RH segun https://access.redhat.com/security/cve/CVE-2024-2961

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!