Según la Unidad de Investigación de Amenazas de Qualys (TRU), se han identificado dos fallas de divulgación en Ubuntu, Red Hat Enterprise Linux y los controladores de volcados de Core de Fedora Appport y Systemd-Coredump.
Cuando se rastrean como CVE-2025-5054 y CVE-2025-4598, ambas vulnerabilidades son errores raciales que permiten a los atacantes locales obtener acceso para acceder a la información confidencial. Herramientas como AppPort y Systemd-Coredump están diseñadas para manejar informes de choque y volcados de núcleo en los sistemas Linux.
«Estas condiciones de carrera permiten a los atacantes locales explotar el programa Suid y obtener acceso de lectura al volcado central resultante», dijo Saeed Abbasi, gerente de productos de Qualys Tru.
A continuación se puede encontrar una breve explicación de los dos defectos.
CVE-2025-5054 (puntaje CVSS: 4.7): incluye condiciones de carrera 2.32.0 para paquetes de appport estándar de hasta 2.32.0. Los binarios no suelos para acceder al proceso privilegiado original Coredump permiten a los atacantes leer datos confidenciales como / etc / contenido de sombra cargado en el proceso original
Suid, abreviatura de Set User ID, es un permiso especial de archivo que permite a los usuarios ejecutar programas con privilegios del propietario en lugar de su propio permiso.
«Cuando una aplicación se bloquea, Appport intenta detectar si el proceso de bloqueo se está ejecutando dentro del contenedor antes de realizar una verificación de consistencia», dice Octavio Galland de Canonical.
«Esto significa que si un atacante local induce un bloqueo en un proceso privilegiado y lo reemplaza rápidamente con otro proceso con el mismo ID de proceso en el espacio de nombres de montaje y PID, Appport intentará reenviar un volcado central (que puede contener información confidencial que pertenece al proceso privilegiado original) en el espacio de nombres».
Red Hat dijo que CVE-2025-4598 ha sido calificado con una gravedad moderada, señalando que la alta complejidad para extraer las hazañas de vulnerabilidad significa que los atacantes primero deben requerir condiciones raciales y poseer una cuenta local mal proporcionada.
Como mitigación, Red Hat dijo que los usuarios pueden ejecutar el comando «echo 0>/proc/sys/fs/suid_dumpable» como el usuario root.
El parámetro «/proc/sys/fs/suid_dumpable» esencialmente controla si un programa Suid puede generar un volcado central en un bloqueo. Al establecerlo en cero, deshabilita los vertederos de núcleo para todos los programas Suid y evita que se analicen en caso de un bloqueo.
«Esto deshabilitará la capacidad de analizar bloqueos para dicho binario, mientras que esta vulnerabilidad no permitirá que se actualicen los paquetes Systemd», dice Red Hat.
Recomendaciones similares han sido emitidas por Amazon Linux, Debian y Gentoo. Vale la pena señalar que el sistema Devine no se ve afectado por CVE-2025-4598 de forma predeterminada, ya que no contiene un controlador de volcado de núcleo a menos que el paquete SystemD-Coredump se instale manualmente. CVE-2025-4598 no afectará las versiones de Ubuntu.
Qualys también ha desarrollado el código de prueba de concepto (POC) para ambas vulnerabilidades, lo que demuestra cómo los atacantes locales pueden aprovechar Coredump en el proceso unix_chkpwd unix_chkpwd.
El impacto de CVE-2025-5054 declaró que el impacto de CVE-2025-5054 se limita a la confidencialidad del espacio de memoria del ejecutable llamado Suid, y que los exploits de POC podrían tener contraseñas de usuarios de hash y filtrar.
«La explotación de las vulnerabilidades de AppPort y Systemd-Coredump puede socavar significativamente la confidencialidad de alto riesgo, ya que los atacantes pueden extraer datos confidenciales como contraseñas, claves de cifrado e información del cliente de los vertederos básicos», dijo Abbasi.
«Las consecuencias del cajón incluyen tiempo de inactividad operacional, daño de reputación y posibles violaciones de las regulaciones. Para mitigar de manera efectiva estos riesgos multifacéticos, las empresas deben priorizar el parcheo y la mitigación, aplicar monitoreo sólido y ajustar los controles de acceso y adoptar medidas de seguridad proactivas».
Source link
