[TLP:CLEAR] GNU glibc opravuje vysoce závažnou zranitelnost

GNU verzí 2.39 opravuje vysoce závažnou zranitelnost v produktu glibc [1]. Z operačních systémů zatím poskytl opravu pouze Debian, a to pro vydání trixie ve verzi 2.41-7 a sid ve verzi 2.41-8 [2].

Glibc - RCE (CVE-2025-4802) CVSS 8.4 (High)

Neautentizovanému lokálnímu útočníkovi je kvůli nesprávnému zpracování proměnné prostředí LD_LIBRARY_PATH ve vybraných staticky linkovaných programech s příznakem setuid, které volají funkci dlopen (například nepřímo přes setlocale nebo funkce Name Service Switch, jako je getaddrinfo) umožněno načíst útočníkem kontrolovanou knihovnu a potenciálně spustit kód. Zneužití zranitelnosti vyžaduje specifický typ programu, který však v době zveřejnění nebyl identifikován, ačkoliv nelze vyloučit jeho existenci [1].

Zranitelnost se nachází v produktu glibc ve verzích >=2.27 AND <=2.38.

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 16. 5. 2025.


Za CESNET-CERTS Michaela Jarošová dne 20. 5. 2025.

CESNET CERTS Logo