Le vulnerabilità, identificate dai ricercatori di Qualys, sono state catalogate come CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 e CVE-2024-11003]. Sono state introdotte nella versione 0.8 di needrestart, rilasciata nell'aprile 2014, e sono state corrette solo recentemente nella versione 3.8.
Nel dettaglio, le falle permettono diversi tipi di attacchi:
CVE-2024-48990 consente l'esecuzione di codice arbitrario come root manipolando la variabile d'ambiente PYTHONPATH
CVE-2024-48992 sfrutta una vulnerabilità nell'interprete Ruby attraverso la variabile RUBYLIB
CVE-2024-48991 sfrutta una race condition per sostituire l'interprete Python con codice malevolo
CVE-2024-10224 e CVE-2024-11003 sono legate all'uso non sicuro del modulo ScanDeps di Perl
Per mitigare il rischio, gli amministratori di sistema possono aggiornare needrestart alla versione 3.8 o successive, ma anche disabilitare la funzionalità di scansione degli interpreti modificando il file needrestart.conf.
Sebbene per sfruttare queste vulnerabilità sia necessario avere accesso locale al sistema, gli esperti sottolineano come non vadano sottovalutate, dato che in passato falle simili sono state utilizzate con successo per ottenere privilegi elevati. La diffusione di needrestart e il lungo periodo in cui è rimasto vulnerabile rendono questa situazione particolarmente critica per la sicurezza dei sistemi.
via/ https://www.hwupgrade.it/
