开源库 libcue 中存在内存损坏漏洞，Linux 系统易遭RCE攻击

开源库 libcue 中存在一个内存损坏漏洞，可导致攻击者在运行桌面环境GNOME的Linux 系统上执行任意代码。

Libcue 库用于解析cue 表单文件，集成于 Tracker Miners 文件元数据索引器中，并默认包含在最新 GNOME 版本中。Cue 表单（或CUE 文件）是包含CD上音轨布局（如长度、歌曲名和音乐家）的明文文件，一般与FLAC音频文件格式成对出现。

GNOME 是多种Linux 发行版本如 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux 企业版中广泛使用的桌面环境。

攻击者可利用该内存损坏漏洞CVE-2023-43641，通过Tracker Miners 自动索引所有已下载文件以更新GNOME Linux 设备上的搜索索引的方式，执行恶意代码。发现该漏洞的 GitHub 安全研究员 Kevin Backhouse 表示，“tracker-miner 的使用方式导致该漏洞成为一次点击的RCE漏洞。如果你是GNOME用户，请今天进行更新。”

要利用该漏洞，目标用户必须下载一份恶意构造的 .CUE 文件，之后该文件被存储在 ~/Downloads 文件夹中。当Tracker Miner 元数据索引器通过 tracker-extract 进程自动解析所保存文件时，就会触发该内存损坏漏洞。

Backhouse 指出，“简言之，这意味着攻击者利用该漏洞并在用户计算机上执行代码仅需点击一个恶意链接即可。”他通过POC 进行了演示并分享了视频。不过他并未发布POC视频，以便所有GNOME用户更新并保护系统安全。虽然需要对该POC 利用进行修改才能在所有 Linux 发行版本上正确运行，但该研究员表示已经创建出针对 Ubuntu 23.04和 Fedora 38平台的“运行良好的”exploit。

Backhouse 提到，“在测试中我发现在正确的发行版本上运行时，该POC运行良好（在错误的发行版本上运行时会触发SIGSEGV）。我并未创建针对其它版本的POC，但我任务所有运行GNOME的发行版本均可能易遭利用。”

虽然成功利用该漏洞要求潜在受害者下载 .cue 文件，但建议管理员修复系统并缓解相关风险，因为该漏洞可在运行广泛使用的发行版本如 Debian、Fedora和Ubuntu 上能够实现代码执行后果。

Backhouse 近年来还发现了其它严重的 Linux 漏洞，包括GNOME Display Manager 中的提权漏洞，在很多现代 Linux 平台上默认安装的polkit 认证系统服务中存在的认证绕过漏洞等。

另外，位于 GNU C Library 动态加载器中的高危漏洞Looney Tunables CVE-2023-4911 的 POC exp已经出现。该漏洞可导致本地攻击者在主流 Linux 系统上获得 root 权限。