Společnost Qualys zveřejnila upozornění na zranitelnost v knihovně GNU C související se zpracováním proměnné prostředí GLIBC_TUNABLES. Zranitelnost byla úspěšně zneužita ke získání plných práv ve výchozích instalacích Fedory 37 a 38, Ubuntu 22.04 a 23.04 a Debianu 12 a 13. Ostatní distribuce jsou pravděpodobně také zranitelné a zneužitelné. Výjimkou je Alpine Linux, který používá knihovnu musl libc, nikoli glibc.
Detaily o chybě samotné ani kód pro její zneužití zatím nejsou veřejné, aby byl čas problém v běžících systémech opravit. Začínají se objevovat aktualizace od distributorů, které by měly být nasazeny ve všech systémech s nedůvěryhodnými uživateli. Můžete si prohlédnout opravu aplikovanou na glibc v sérii záplat.
Proměnná prostředí GLIBC_TUNABLES byla do glibc zavedena, aby uživatelům nabídla možnost upravit chování knihovny za běhu, bez nutnosti rekompilace aplikace nebo knihovny. Nastavením mohou uživatelé upravit různé parametry, které se pak při spuštění aplikace projeví na výkonu a chování.
