Дампы памяти выдают пароли: две уязвимости в Ubuntu, RHEL и Fedora

Исследователи Qualys Threat Research Unit (TRU) обнаружили две уязвимости в компонентах, которые отвечают за обработку аварийных завершений процессов в Linux — apport и systemd-coredump. Оба инструмента используются соответственно в Ubuntu, а также в Red Hat Enterprise Linux и Fedora для формирования и анализа core dump — снимков памяти рухнувшего процесса. Проблемы получили идентификаторы CVE-2025-5054 и CVE-2025-4598, обеим присвоена оценка CVSS 4.7.

Гонка условий вокруг SUID-программ

Речь идёт о классических race condition — состояниях гонки, которые позволяют локальному злоумышленнику получить доступ к содержимому core dump от SUID-программы. SUID (Set User ID) — специальный бит доступа, который запускает программу с правами её владельца, а не запустившего пользователя; именно поэтому дамп памяти такого процесса может содержать чувствительные данные.

«Эти состояния гонки позволяют локальному злоумышленнику эксплуатировать SUID-программу и получить доступ на чтение к образовавшемуся core dump», — пояснил Саид Аббаси (Saeed Abbasi), менеджер по продукту Qualys TRU.

CVE-2025-5054 — уязвимость в пакете apport от Canonical версий вплоть до 2.32.0 включительно. Она позволяет злоумышленнику раскрыть чувствительные данные за счёт повторного использования PID (PID-reuse) с применением пространств имён (namespaces).

Как объяснил представитель Canonical Октавио Гальянд (Octavio Galland), при анализе аварийного завершения apport сначала пытается определить, работал ли рухнувший процесс внутри контейнера, и только затем проводит проверки согласованности. «Это означает, что если локальный злоумышленник сумеет спровоцировать крах привилегированного процесса и быстро подменит его другим процессом с тем же PID, находящимся в mount- и pid-пространстве имён, apport попытается переслать core dump — потенциально содержащий данные оригинального привилегированного процесса — в это пространство имён», — сказал он.

CVE-2025-4598 — уязвимость в systemd-coredump, которая позволяет атакующему принудительно завершить SUID-процесс и подменить его непривилегированным бинарником, чтобы получить доступ к core dump оригинального привилегированного процесса — вплоть до содержимого файла /etc/shadow, загруженного этим процессом.

Насколько это опасно

Red Hat оценила CVE-2025-4598 как проблему средней (Moderate) серьёзности из-за высокой сложности эксплуатации: атакующему сначала нужно выиграть гонку условий и уже иметь непривилегированную локальную учётную запись на системе.

В качестве временной меры Red Hat рекомендует от имени root выполнить команду:

echo 0 > /proc/sys/fs/suid_dumpable

Параметр /proc/sys/fs/suid_dumpable определяет, могут ли SUID-программы формировать core dump при аварийном завершении. Установка значения в ноль полностью отключает создание таких дампов для всех SUID-программ. «Пока обновление пакета systemd невозможно, эта мера снижает риск, но одновременно лишает администраторов возможности анализировать причины сбоев для таких бинарников», — отметили в Red Hat.

Аналогичные предупреждения выпустили Amazon Linux, Debian и Gentoo. При этом Debian по умолчанию не подвержена CVE-2025-4598, поскольку не включает обработчик core dump, если пакет systemd-coredump не установлен вручную. CVE-2025-4598, в свою очередь, вообще не затрагивает Ubuntu.

PoC и реальный риск

Qualys подготовила proof-of-concept для обеих уязвимостей, продемонстрировав, как локальный атакующий может использовать core dump рухнувшего процесса unix_chkpwd — утилиты, проверяющей корректность пароля пользователя, — чтобы извлечь хэши паролей из файла /etc/shadow.

В Canonical, в свою очередь, подчеркнули, что влияние CVE-2025-5054 ограничено конфиденциальностью памяти вызываемых SUID-исполняемых файлов, а продемонстрированная в PoC возможность утечки хэшированных паролей имеет ограниченное практическое значение.

Тем не менее в Qualys настаивают на серьёзности проблемы. «Эксплуатация уязвимостей в Apport и systemd-coredump может серьёзно скомпрометировать конфиденциальность данных: злоумышленники способны извлекать из core dump пароли, ключи шифрования или информацию о клиентах, — заявил Аббаси. — Последствия включают простои в работе, репутационный ущерб и потенциальное несоответствие регуляторным требованиям. Чтобы эффективно снизить эти комплексные риски, компаниям стоит проактивно устанавливать патчи и применять митигации, усиливать мониторинг и ужесточать контроль доступа».

Источник: The Hacker News.