Qualys’ten siber güvenlik araştırmacıları, önemli Linux dağıtımlarının kullanıcıları için tehdit oluşturan iki güvenlik açığı keşfetti. Her iki açık da verilerin çalınmasına neden olabilecek kadar kritik. Kötü amaçlı kişiler, tehditten etkilenen Linux dağıtımlarında bu açıktan yararlanarak hassas verilere erişebiliyor.
Her ikisi de race condition kaynaklı güvenlik açıkları, kötü amaçlı kişilerin önemli bilgilere erişim elde etmesine olanak tanıyor. Bunlardan ilki (CVE-2025-5054) Ubuntu’nun Apport sisteminde bulunuyor. İkincisi (CVE-2025-4598) ise Red Hat Enterprise Linux 9 ve 10’la birlikte Fedora Linux’taki varsayılan core-dump handler’da bulunuyor.
Apport, Ubuntu’da çökme verilerini ve sistem bilgilerini otomatik olarak toplayan bir hata raporlama aracı. Systemd-coredump ise çökmeden kaynaklı sonlanan işlemlerin bellek dökümlerini yakalayarak hata ayıklama ve analiz için saklar.
Güvenlik Açıkları Hangi Linux Dağıtımlarını Etkiliyor?
Qualys’in aktardığı bilgilere göre Apport sistemindeki açık, Ubuntu 24.04 sürümü için tehdit oluşturuyor. Ayrıca önceki sürümler de bundan etkileniyor. 2.33.0’a kadar olan sürümlerin yanı sıra Ubuntu 16.04’ten itibaren çıkan tüm sürümleri kapsıyor. Systemd-coredump içinse Fedora 40/41, Red Hat Enterprise Linux 9 ve RHEL 10 tehlikede.
Kötü amaçlı bir kişinin ayrıcalıklı bir işlemi çökertip core-dump handler müdahalesi olmadan çöken işlemi hızlıca yeniden başlatarak sisteme müdahale etmesi teorik olarak mümkün. Bu şekilde core dump dosyasına erişim sağlayabilir ve bu dosyada yer alan şifreler gibi hassas bilgilere ulaşabilirler.
Dahası, systemd-coredump her işlem için belirlenen dumpable işaretini doğru şekilde doğrulamadığı için kötü niyetli bir kişi root ayrıcalığına sahip işlemleri çökertip UID’yi kendi kullanıcı ID’sine ayarlayabilir. Böylece kritik işlemlerin hassas belleğine erişim imkânı elde edebilir.
Qualys, her iki güvenlik açığı için de bir proof-of-concept (PoC) geliştirdi ve güvenlik açıklarından etkilenmemek için çekirdek dökümlerinin güvenli bir şekilde saklandığından emin olunması, PID (process ID) doğrulamasını sıkıştırılması ve SUID/SGID core dosyalarına erişim kısıtlamaları uygulanmasını önerdi.
Yorum Yap