【漏洞通告】Linux glibc堆缓冲区溢出漏洞（CVE-2023-6246）

GNU C库（又名glibc），是 GNU 系统以及大多数运行 Linux 内核的系统中的重要组件，是应用程序和Linux内核之间的核心接口。

2024年1月31日，启明星辰VSRC监测到glibc中存在一个基于堆的缓冲区溢出漏洞（CVE-2023-6246），该漏洞的细节及PoC/EXP已经公开披露，已知该漏洞影响了Debian、Ubuntu 和Fedora 系统。

由于glibc 的__vsyslog_internal() 函数中存在基于堆的缓冲区溢出漏洞，该函数被广泛使用的syslog()和vsyslog()函数调用，用于向系统消息记录器写入消息。本地非特权用户可通过对使用这些日志记录功能的应用程序执行恶意输入来获得root 访问权限，成功利用可能导致本地权限提升。

此外，glibc中还存在另外3个漏洞，分别为__vsyslog_internal() 函数中的缓冲区溢出漏洞（CVE-2023-6779）和整数溢出漏洞（CVE-2023-6780），以及qsort () 函数中由于缺少边界检查而导致的内存损坏问题。

二、影响范围

glibc版本 2.36、2.37

注：CVE-2023-6246于glibc 2.37（2022 年 8 月）中无意引入，后向后移植到 glibc 2.36，glibc 的qsort()函数中的内存损坏问题影响了glibc 版本1.04 – 2.38。

此外，CVE-2023-6246需要特定的条件才能被利用（例如异常长的 argv[0] 或 openlog() ident 参数），已知该漏洞影响了以下系统版本：

Debian 12和13；

Ubuntu 23.04 和 23.10；

Fedora 37、38、39。

三、安全措施

3.1 升级版本

目前这些漏洞已经修复（除了glibc 的 qsort()函数中的内存损坏问题），受影响用户可升级到最新版本。

下载链接：

https://sourceware.org/glibc/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt

https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】Linux glibc堆缓冲区溢出漏洞（CVE-2023-6246）