Nieuwe kwetsbaarheden in Linux-componenten apport en systemd-coredump kunnen lokale aanvallers toegang geven tot gevoelige informatie. Qualys-onderzoekers identificeerden twee race conditions die gebruikt kunnen worden om core dumps van bevoorrechte processen te lezen. Red Hat benadrukt echter de complexiteit van een werkelijke exploitatie.
De problemen liggen in de manier waarop Ubuntu en Red Hat Enterprise Linux omgaan met crashrapporten. CVE-2025-5054 betreft Canonical’s apport-pakket tot versie 2.32.0; CVE-2025-4598 draait om een systemd-coredump. Beide kwetsbaarheden maken misbruik van race conditions waarbij een lokale aanvaller een bevoorrecht proces kan laten crashen.
De aanval werkt door snel een nieuwe, niet-bevoorrechte binary op dezelfde proces-ID te plaatsen. Hierdoor kunnen core memory-bestanden van het oorspronkelijke proces worden onderschept. Earlier dit jaar zagen we al problematiek in Linux-componenten met de CUPS-kwetsbaarheid die remote code execution mogelijk maakte, waarbij er eveneens sprake was van race conditions.
Debian en Ubuntu verschillend getroffen
Interessant is dat niet alle distributaties even kwetsbaar zijn. Debian-systemen zijn standaard niet vatbaar voor CVE-2025-4598 omdat ze geen core dump handler bevatten, tenzij het systemd-coredump pakket handmatig wordt geïnstalleerd. Ubuntu-releases blijven ook gespaard.
Red Hat categoriseert de bedreiging als ‘gematigd’ vanwege de hoge complexiteit. Een aanvaller moet eerst de race condition winnen en beschikken over een lokale account zonder privileges. “Deze race conditions laten een lokale aanvaller toe om een SUID-programma te exploiteren en leestoegang te krijgen tot de resulterende core dump,” legt Qualys-productmanager Saeed Abbasi uit.
Tijdelijke bescherming beschikbaar
Voor organisaties die niet direct kunnen updaten, biedt Red Hat een workaround. Door als root-gebruiker het commando “echo 0 > /proc/sys/fs/suid_dumpable” uit te voeren, wordt de mogelijkheid uitgeschakeld dat het systeem core dumps genereert voor SUID-binaries. Deze parameter bepaalt of SUID-programma’s core dumps kunnen produceren na een crash.
Qualys ontwikkelde proof-of-concept code voor beide kwetsbaarheden. Deze demonstreert hoe een lokale aanvaller de coredump van een gecrashte unix_chkpwd proces kan exploiteren om wachtwoord-hashes uit het /etc/shadow bestand te verkrijgen. Canonical benadrukt echter dat de impact beperkt blijft tot het geheugen van SUID-executables en dat de PoC-exploit weinig relevantie heeft in de praktijk.