Duas falhas de divulgação de informações foram identificadas em apport e systemd-coredump, manipuladores de core dump no Ubuntu, Red Hat Enterprise Linux e Fedora, de acordo com a Unidade de Pesquisa de Ameaças Qualys (TRU).
Rastreadas como
CVE-2025-5054
e
CVE-2025-4598
, ambas as vulnerabilidades são bugs de condição de corrida que poderiam permitir a um atacante local obter acesso a informações sensíveis.
Ferramentas como Apport e systemd-coredump são projetadas para manejar relatórios de falhas e core dumps em sistemas Linux.
"Essas condições de corrida permitem que um atacante local explore um programa SUID e ganhe acesso de leitura ao core dump resultante," disse Saeed Abbasi, gerente de produto na Qualys TRU.
Uma breve descrição das duas falhas está abaixo:
-
CVE-2025-5054
(pontuação CVSS: 4.7) - Uma condição de corrida no pacote apport da Canonical até e incluindo a versão 2.32.0 que permite a um atacante local vazar informações sensíveis via reutilização de PID, aproveitando namespaces;
-
CVE-2025-4598
(pontuação CVSS: 4.7) - Uma condição de corrida em systemd-coredump que permite a um atacante forçar um processo SUID a falhar e substituí-lo por um binário não-SUID para acessar o core dump do processo privilegiado original, permitindo ao atacante ler dados sensíveis, como o conteúdo de /etc/shadow, carregado pelo processo original
SUID, sigla para Set User ID, é uma permissão especial de arquivo que permite a um usuário executar um programa com os privilégios de seu proprietário, ao invés de suas próprias permissões.
"Ao analisar falhas de aplicação, o apport tenta detectar se o processo que falhou estava sendo executado dentro de um contêiner antes de realizar verificações de consistência," disse Octavio Galland da Canonical.
Isto significa que se um atacante local conseguir induzir uma falha em um processo privilegiado e rapidamente substituí-lo por outro com o mesmo ID de processo que reside dentro de um namespace de mount e pid, o apport tentará encaminhar o core dump (que pode conter informações sensíveis pertencentes ao processo original privilegiado) para dentro do namespace.
A Red Hat disse que o
CVE-2025-4598
foi classificado como Moderado em gravidade devido à alta complexidade em realizar um exploit para a vulnerabilidade, notando que o atacante tem que primeiro a condição de corrida e estar na posse de uma conta local não privilegiada.
Como medidas de mitigação, a Red Hat disse que os usuários podem executar o comando "echo 0 > /proc/sys/fs/suid_dumpable" como um usuário root para desabilitar a capacidade de um sistema gerar um core dump para binários SUID.
O parâmetro "/proc/sys/fs/suid_dumpable" controla essencialmente se programas SUID podem produzir core dumps na falha.
Ao defini-lo como zero, ele desabilita core dumps para todos os programas SUID e impede que sejam analisados em caso de falha.
"Enquanto isso mitiga essa vulnerabilidade enquanto não é possível atualizar o pacote systemd, isso também desabilita a capacidade de analisar falhas para tais binários," disse a Red Hat.
Advisories semelhantes foram emitidos por Amazon Linux, Debian e Gentoo.
Vale notar que sistemas Debian não são suscetíveis ao
CVE-2025-4598
por padrão, já que não incluem nenhum manipulador de core dump a menos que o pacote systemd-coredump seja instalado manualmente.
O
CVE-2025-4598
não afeta lançamentos do Ubuntu.
A Qualys também desenvolveu código de prova de conceito (PoC) para ambas as vulnerabilidades, demonstrando como um atacante local pode explorar o coredump de um processo unix_chkpwd que falhou, o qual é usado para verificar a validade da senha de um usuário, para obter hashes de senha do arquivo /etc/shadow.
A Canonical, em um alerta próprio, disse que o impacto do
CVE-2025-5054
é restrito à confidencialidade do espaço de memória de executáveis SUID invocados e que o exploit PoC pode vazar senhas de usuários hashadas tem impacto limitado no mundo real.
"A exploração de vulnerabilidades no Apport e systemd-coredump pode comprometer severamente a confidencialidade em alto risco, já que atacantes poderiam extrair dados sensíveis, como senhas, chaves de criptografia ou informações de clientes dos core dumps," disse Abbasi.
A repercussão inclui tempo de inatividade operacional, danos à reputação e potencial não conformidade com regulamentações.
Para mitigar eficazmente esses riscos multifacetados, as empresas devem adotar medidas de segurança proativas, priorizando patches e medidas de mitigação, reforçando a monitorização robusta e apertando os controles de acesso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...