В glibc нашли баг: setuid-программы в Linux могут выполнять чужой код

В glibc нашли баг: setuid-программы в Linux могут выполнять чужой код

В glibc нашли баг: setuid-программы в Linux могут выполнять чужой код

Исследователи сообщили об уязвимости в GNU C Library (glibc) — одной из ключевых библиотек ОС Linux. Проблема получила идентификатор CVE-2025-4802 и связана с тем, как статически скомпилированные setuid-программы загружают внешние библиотеки.

Если коротко: статические setuid-бинарники, которые по каким-то причинам вызывают dlopen() (это способ динамически загружать библиотеки во время выполнения), неправильно обрабатывают переменную окружения LD_LIBRARY_PATH. Это изъян позволяет подсовывать им вредоносные библиотеки.

Хотя обычно такие переменные игнорируются для setuid-программ (чтобы никто не мог повлиять на их поведение через окружение), здесь это правило не соблюдается. И если на устройстве есть такой бинарник, злоумышленник может с его помощью выполнить свой код с привилегиями.

Как это может сработать:

  • На системе есть статически скомпилированная setuid-программа.
  • Она вызывает dlopen() — напрямую или через функции типа getaddrinfo, которые под капотом используют NSS.
  • Пользователь может задать переменную LD_LIBRARY_PATH.

Самое интересное — пока что не найдено ни одного уязвимого бинарника, но эксперты предупреждают: старые или самописные утилиты вполне могут оказаться под угрозой. Особенно в организациях с «наследием».

Что делать администраторам и сборщикам дистрибутивов:

  • Обновиться до glibc версии 2.39 (или вручную вкатить патч, если у вас своя сборка).
  • Проверить, нет ли у вас статических setuid-программ — и по возможности пересобрать их с динамическими библиотеками.

Степень риска эксплуатации оценивается как низкая, но если сработает — последствия могут быть серьёзными.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Meta раскрывает личные чаты с ИИ — Mozilla бьёт тревогу

Meta (признана экстремистской и запрещена в России) опять вляпалась в историю. В апреле они выкатили приложение Meta AI с «лентой открытий» (Discover feed), где можно смотреть чужие ИИ-запросы — дескать, вдохновляться, делиться своими, ремиксить чужие. Выглядит креативно, но…

Спустя пару дней журналисты заметили, что в этой ленте полно очень личных запросов.

Кто-то рассказывал про больную черепаху, кто-то спрашивал, как засудить бывшего работодателя, а кто-то интересовался фолиевой кислотой для женщин в менопаузе. Вишенка на торте — вопросы по страховке Blue Cross.

Meta (признана экстремистской и запрещена в России) утверждает, что ничего не публикуется без нажатия кнопки «поделиться». Но, похоже, далеко не все понимают, что на самом деле происходит. И теперь Mozilla бьёт тревогу.

«Meta тихо превращает приватные ИИ-чаты в публичный контент, и слишком много людей об этом не догадываются», — говорится в официальном заявлении Mozilla Foundation.

Чего требует Mozilla:

  • Немедленно отключить Discover feed до появления адекватных механизмов приватности.
  • Сделать все ИИ-сессии по умолчанию приватными. И только по чёткому, информированному согласию — опубликовывать.
  • Рассказать, сколько человек уже случайно «слили» свои данные.
  • Ввести понятную и универсальную систему «отписки» от использования пользовательских данных в обучении ИИ.
  • Уведомить всех, чьи чаты стали публичными, и дать им возможность удалить всё навсегда.

Mozilla прямо говорит: Meta стирает границы между личным и публичным, и делает это за наш счёт. Люди имеют право знать, когда они говорят на публике, особенно если уверены, что разговаривают наедине с ботом.

Если вы согласны, Mozilla предлагает подписать обращение с требованием закрыть «вторгающуюся» ленту Meta и гарантировать приватность по умолчанию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru