La Qualys Threat Research Unit di Qualys ha recentemente scoperto quattro significative vulnerabilità nella libreria GNU C (o glibc), un componente essenziale di quasi tutti i sistemi basati su Linux, in quanto funge da interfaccia centrale tra le applicazioni e il kernel Linux.

La scoperta di vulnerabilità nelle funzioni syslog e qsort della GNU C Library solleva gravi problemi di sicurezza. La vulnerabilità di syslog, un buffer overflow basato su heap, può infatti consentire agli utenti locali di ottenere l’accesso completo a root, con un impatto sulle principali distribuzioni Linux. Allo stesso modo, la vulnerabilità di qsort, derivante da un controllo dei limiti mancante, può portare alla corruzione della memoria e ha colpito tutte le versioni di glibc dal 1992.

Qualys_VMDR-patch-linux

“Queste falle evidenziano la necessità di misure di sicurezza rigorose nello sviluppo del software, in particolare per le librerie di base ampiamente utilizzate in molti sistemi e applicazioni” ha scritto Qualys. “Le vulnerabilità identificate nelle funzioni syslog e qsort di glibc evidenziano come anche i componenti più fondamentali e affidabili non siano immuni da falle. Le ramificazioni di queste vulnerabilità si estendono ben oltre i singoli sistemi, interessando molte applicazioni e potenzialmente milioni di utenti in tutto il mondo”.

Queste vulnerabilità scoperte dalla Qualys TRU sottolineano dunque la necessità di una vigilanza continua e di aggiornamenti tempestivi della sicurezza del software. Il passo iniziale e cruciale nella gestione di queste vulnerabilità e nella mitigazione dei rischi associati consiste nell’individuare tutti gli asset suscettibili a rischi.