Qualysは1月30日(米国時間)、「CVE-2023-6246: Heap-based buffer overflow in the glibc's syslog() - Qualys Security Advisory」において、GNU Cライブラリー(glibc)にヒープバッファーオーバーフローの脆弱性が発見されたとして、注意を呼び掛けた。この脆弱性はログの記録を目的とした「syslog()」および「vsyslog()」関数から呼び出される「__vsyslog_internal()」関数内に存在し、悪用されると非特権ユーザーから管理者権限を取得されるリスクがある。

  • CVE-2023-6246: Heap-based buffer overflow in the glibc's syslog() - Qualys Security Advisory

    CVE-2023-6246: Heap-based buffer overflow in the glibc's syslog() - Qualys Security Advisory

脆弱性の情報と影響

この脆弱性は「CVE-2023-6246」として追跡されている。2022年8月に「CVE-2022-39046」の対策として修正されたコード「sourceware.org Git - glibc.git/commit」にこの脆弱性が含まれていた。

Qualysはこの脆弱性が少なくともDebian 12および13、Ubuntu 23.04および23.10、Fedora 37~39に存在することを確認している。この脆弱性を悪用するには1024バイトを超えるargv0またはopenlog()のident引数を必要とするため、リモートから攻撃することはできない。

対策

GNU Cライブラリー(glibc)は各種Linuxディストリビューションに標準で含まれているため、対策としては、Linuxディストリビューターの公開している情報を確認し、必要に応じてアップデートする必要がある。