Xakep #305. Многошаговые SQL-инъекции
Уязвимость CVE-2023-43641 (8,8 балла по шкале CVSS), обнаруженная в опенсорсной библиотеке libcue, затрагивает версию 2.2.1 и более ранние, позволяя злоумышленникам выполнять произвольный код в Linux-системах, использующих среду рабочего стола GNOME.
Библиотека libcue предназначена для анализа текстовых файлов с метаданными, Cue Sheet (CUE), которые описывают последовательность и длительность треков на CD, DVD и так далее. Корень проблемы заключается в том, что libcue входит в состав инструмента Tracker Miners, который по умолчанию включен в GNOME и индексирует все файлы в системе для обновления поискового индекса и облегчения доступа.
В итоге, для эксплуатации свежей уязвимости в libcue пользователю достаточно загрузить вредоносный файл .CUE, который сохранится в папке ~/Downloads. Ошибка повреждения памяти возникнет после того, как Tracker Miners автоматически проанализирует такой сохраненный файл, к делу подключится libcue и поможет осуществить выполнение кода. Таким образом возникает RCE-уязвимость, использовать которую можно в один клик.
«Проще говоря, это означает, что случайный клик по вредоносной ссылке — это все, что нужно злоумышленнику для эксплуатации CVE-2023-43641 и выполнения кода на вашем компьютере», — пишет специалист GitHub Кевин Бэкхаус (Kevin Backhouse), обнаруживший эту ошибку, и призывает всех пользователей GNOME немедленно установить обновления.
Бэкхаус уже продемонстрировал PoC-эксплоит для CVE-2023-43641 в работе, однако публикация самого эксплоита пока откладывается, чтобы дать пользователям GNOME время на установку патчей.
Хотя эксплоит для CVE-2023-43641 нужно настраивать для каждого отдельного дистрибутива Linux, исследователь отмечает, что уже создал эксплоиты для Ubuntu 23.04 и Fedora 38, которые работают «очень надежно».
«Я не создавал PoC для других дистрибутивов, но считаю, что все дистрибутивы, в которых работает GNOME, потенциально пригодны для эксплуатации [уязвимости]», — пишет Бэкхаус.
Хотя для успешной эксплуатации бага злоумышленнику приедятся каким-то образом вынудить жертву загрузить вредоносный файл .cue, администраторам рекомендуется как можно скорее обновить свои системы и снизить риски, связанные с этой уязвимостью, которая обеспечивает выполнение кода на устройствах, работающих под управлением новейших версий таких популярных дистрибутивов, как Debian, Fedora и Ubuntu.
