Одна команда — и пароли уже не ваши: баги в Linux ставят под угрозу бизнес
NewsMakerУтечка паролей теперь вопрос пары миллисекунд.
На системах Linux, включая Ubuntu, Red Hat Enterprise Linux и Fedora, выявлены две уязвимости раскрытия информации, связанные с обработчиками дампов памяти Apport и systemd-coredump. Об этом сообщили специалисты Qualys Threat Research Unit (TRU). Обе уязвимости представляют собой race condition и отслеживаются под номерами CVE-2025-5054 и CVE-2025-4598. Они могут позволить локальному пользователю получить доступ к конфиденциальной информации, хранящейся в дампах памяти привилегированных процессов.
Инструменты Apport и systemd-coredump предназначены для автоматического сбора информации при сбоях программ — с созданием так называемых core dump-файлов, содержащих снимок памяти аварийно завершившегося процесса. При этом, если сбой произошёл у программы с флагом SUID (Set User ID), то такие дампы могут содержать чувствительные данные, поскольку выполняемая программа имела доступ выше, чем обычный пользователь.
Хотя обе уязвимости требуют от атакующего точного расчёта времени и определённых условий, их последствия серьёзны. В демонстрации от Qualys показано, как можно получить дамп процесса
Компания Canonical подтвердила , что уязвимость CVE-2025-5054 действительно может привести к утечке памяти SUID-процессов, но в большинстве случаев влияние ограничено конфиденциальностью, без прямой возможности повысить привилегии или выполнить произвольный код. Тем не менее, эксплуатация PoC позволяет подтвердить возможность утечки паролей в хэшированном виде.
Что касается CVE-2025-4598, то Red Hat классифицировала её как уязвимость среднего уровня опасности, отметив высокую сложность эксплуатации: необходимо успеть заменить процесс, выиграв гонку, и при этом обладать локальным непривилегированным доступом.
В качестве временной меры защиты Red Hat рекомендует отключить возможность создания дампов для SUID-программ с помощью команды
Аналогичные рекомендации и предупреждения выпустили Amazon Linux , Debian и Gentoo . Важно отметить, что системы Debian по умолчанию не используют systemd-coredump, а значит, не подвержены CVE-2025-4598 без явной установки соответствующего пакета. При этом Ubuntu также не затронута этой уязвимостью.
Представители Qualys подчеркнули, что игнорирование рисков, связанных с уязвимостями в обработчиках дампов памяти, может привести к утечке критически важной информации, включая пароли, ключи шифрования и персональные данные. Это влечёт за собой не только технологические, но и юридические, а также репутационные последствия. Организациям настоятельно рекомендуется устанавливать обновления, применять меры защиты, усиливать мониторинг и ужесточать контроль доступа.
На системах Linux, включая Ubuntu, Red Hat Enterprise Linux и Fedora, выявлены две уязвимости раскрытия информации, связанные с обработчиками дампов памяти Apport и systemd-coredump. Об этом сообщили специалисты Qualys Threat Research Unit (TRU). Обе уязвимости представляют собой race condition и отслеживаются под номерами CVE-2025-5054 и CVE-2025-4598. Они могут позволить локальному пользователю получить доступ к конфиденциальной информации, хранящейся в дампах памяти привилегированных процессов.
Инструменты Apport и systemd-coredump предназначены для автоматического сбора информации при сбоях программ — с созданием так называемых core dump-файлов, содержащих снимок памяти аварийно завершившегося процесса. При этом, если сбой произошёл у программы с флагом SUID (Set User ID), то такие дампы могут содержать чувствительные данные, поскольку выполняемая программа имела доступ выше, чем обычный пользователь.
- CVE-2025-5054 (оценка CVSS 4.7), затрагивает пакет apport до версии 2.32.0 включительно. Она связана с тем, как apport определяет, был ли сбой вызван процессом внутри контейнера. Если атакующий спровоцирует крах привилегированного процесса и тут же запустит процесс с тем же PID внутри namespace-окружения, apport может по ошибке передать дамп нового процесса, содержащий данные оригинального, в это пространство, открывая доступ к конфиденциальной информации.
- CVE-2025-4598 (оценка CVSS 4.7), обнаружена в systemd-coredump и затрагивает обработку дампов процессов с SUID. Вредоносный пользователь может инициировать сбой привилегированного процесса, а затем заменить бинарник на обычный (не-SUID) с тем же PID, чтобы получить дамп памяти оригинального процесса. Это даёт возможность прочитать, к примеру, содержимое файла /etc/shadow, где хранятся хэши паролей пользователей.
Хотя обе уязвимости требуют от атакующего точного расчёта времени и определённых условий, их последствия серьёзны. В демонстрации от Qualys показано, как можно получить дамп процесса
unix_chkpwd, предназначенного для проверки пользовательских паролей, и извлечь оттуда хэши из /etc/shadow. Компания Canonical подтвердила , что уязвимость CVE-2025-5054 действительно может привести к утечке памяти SUID-процессов, но в большинстве случаев влияние ограничено конфиденциальностью, без прямой возможности повысить привилегии или выполнить произвольный код. Тем не менее, эксплуатация PoC позволяет подтвердить возможность утечки паролей в хэшированном виде.
Что касается CVE-2025-4598, то Red Hat классифицировала её как уязвимость среднего уровня опасности, отметив высокую сложность эксплуатации: необходимо успеть заменить процесс, выиграв гонку, и при этом обладать локальным непривилегированным доступом.
В качестве временной меры защиты Red Hat рекомендует отключить возможность создания дампов для SUID-программ с помощью команды
echo 0 > /proc/sys/fs/suid_dumpable, которая должна быть выполнена от имени root. Это снижает риск утечки данных , но одновременно отключает возможность диагностики сбоев таких программ через дампы памяти. Аналогичные рекомендации и предупреждения выпустили Amazon Linux , Debian и Gentoo . Важно отметить, что системы Debian по умолчанию не используют systemd-coredump, а значит, не подвержены CVE-2025-4598 без явной установки соответствующего пакета. При этом Ubuntu также не затронута этой уязвимостью.
Представители Qualys подчеркнули, что игнорирование рисков, связанных с уязвимостями в обработчиках дампов памяти, может привести к утечке критически важной информации, включая пароли, ключи шифрования и персональные данные. Это влечёт за собой не только технологические, но и юридические, а также репутационные последствия. Организациям настоятельно рекомендуется устанавливать обновления, применять меры защиты, усиливать мониторинг и ужесточать контроль доступа.