В glibc нашли баг: setuid-программы в Linux могут выполнять чужой код
Главная » Новости

В glibc нашли баг: setuid-программы в Linux могут выполнять чужой код

Екатерина Быстрова 19 Мая 2025 - 09:17
...
В glibc нашли баг: setuid-программы в Linux могут выполнять чужой код

Исследователи сообщили об уязвимости в GNU C Library (glibc) — одной из ключевых библиотек ОС Linux. Проблема получила идентификатор CVE-2025-4802 и связана с тем, как статически скомпилированные setuid-программы загружают внешние библиотеки.

Если коротко: статические setuid-бинарники, которые по каким-то причинам вызывают dlopen() (это способ динамически загружать библиотеки во время выполнения), неправильно обрабатывают переменную окружения LD_LIBRARY_PATH. Это изъян позволяет подсовывать им вредоносные библиотеки.

Хотя обычно такие переменные игнорируются для setuid-программ (чтобы никто не мог повлиять на их поведение через окружение), здесь это правило не соблюдается. И если на устройстве есть такой бинарник, злоумышленник может с его помощью выполнить свой код с привилегиями.

Как это может сработать:

  • На системе есть статически скомпилированная setuid-программа.
  • Она вызывает dlopen() — напрямую или через функции типа getaddrinfo, которые под капотом используют NSS.
  • Пользователь может задать переменную LD_LIBRARY_PATH.

Самое интересное — пока что не найдено ни одного уязвимого бинарника, но эксперты предупреждают: старые или самописные утилиты вполне могут оказаться под угрозой. Особенно в организациях с «наследием».

Что делать администраторам и сборщикам дистрибутивов:

  • Обновиться до glibc версии 2.39 (или вручную вкатить патч, если у вас своя сборка).
  • Проверить, нет ли у вас статических setuid-программ — и по возможности пересобрать их с динамическими библиотеками.

Степень риска эксплуатации оценивается как низкая, но если сработает — последствия могут быть серьёзными.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Битрикс24 обновился: новый интерфейс, ИИ-помощник и защищённый чат
Екатерина Быстрова 19 Мая 2025 - 20:42
Общее
Битрикс24 обновился: новый интерфейс, ИИ-помощник и защищённый чат

В новом релизе «Невесомость» команда Битрикс24 переработала интерфейс, добавила ИИ-помощника и обновила мессенджер с акцентом на безопасность. В числе других изменений — улучшения в CRM, BI и документообороте.

Новый интерфейс и старт с мессенджера

Флагманом релиза стал интерфейс «Зефир». Главный акцент — упрощение навигации и переключения между разделами. Рабочий процесс теперь начинается с мессенджера: из чата можно перейти в задачи или CRM. Интерфейс стал более лёгким визуально и удобным для новых пользователей.

Мессенджер 3.0 с усиленной безопасностью

Обновлённый мессенджер теперь работает только в рамках корпоративной среды. Среди новых функций:

  • автоудаление сообщений;
  • защита от скриншотов в мобильном приложении;
  • сквозное шифрование и шифрование звонков;
  • биометрическая авторизация;
  • использование мобильного устройства как второго фактора при входе.

Технология QuantumConnect ускоряет и защищает видеозвонки, а также улучшает качество связи, независимо от количества участников.

Marta AI — встроенный помощник

Во всех разделах CRM теперь доступен персональный ИИ-ассистент. Marta помогает:

  • новым сотрудникам разобраться в системе;
  • переносить встречи и настраивать воронки;
  • создавать поля в карточках сделок;
  • искать клиентов, готовых к повторной покупке, и выстраивать с ними контакт.

BitrixGPT 4.5

Ассистент работает на новой языковой модели BitrixGPT 4.5, аналогичной ChatGPT-4o. Она развёрнута в российской инфраструктуре. Есть возможность подключения собственной модели через API.

Обновления CRM и Онлайн-записи

В CRM реализована поддержка повторных продаж с помощью ИИ, а в модуле Онлайн-записи появились формы для самостоятельной записи клиентов и внесения предоплаты. Поддерживаются основные платёжные системы, чеки формируются автоматически, а напоминания рассылаются по SMS и WhatsApp. Информация об этом фиксируется в CRM.

Документооборот

В модуле КЭДО улучшена интеграция с «1С». Теперь можно отправлять целый пакет документов на подпись одним кликом. Поддерживаются системы «1С:ЗУП», «ERP», «Бухгалтерия» и другие.

Бизнес-аналитика

В BI-конструкторе появились:

  • группировка отчётов;
  • настройка прав доступа для команд;
  • фильтрация источников;
  • поддержка внешних баз данных через REST API;
  • потоковая аналитика с отчётами по каждому каналу.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Google Chrome закрыли 23-летнюю уязвимость, сливающую историю браузера
Новость
В Google Chrome закрыли 23-летнюю уязвимость, сливающую исто...
Веб-шеллы в зоне .by: всплеск продаж на даркнете в 2025 году
Новость
Веб-шеллы в зоне .by: всплеск продаж на даркнете в 2025 году
В Гарда DLP 6.1.0 улучшили контроль переписки в WhatsApp
Новость
В Гарда DLP 6.1.0 улучшили контроль переписки в WhatsApp

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.