Ubuntu: rilasciata patch per vulnerabilità di sicurezza needrestart

Canonical ha annunciato che il suo team di sicurezza ha rilasciato aggiornamenti che correggono le vulnerabilità nei pacchetti needrestart e libmodule-scandeps-perl trovate da Qualys. Questi pacchetti sono stati installati di default nel suo sistema a partire da Ubuntu 21.04, quindi è importante installare tali aggiornamenti. Fornendo un contesto su queste vulnerabilità, Canonical spiega che consentono la Local Privilege Escalation (LPE). Ciò significa che un aggressore locale può usarle per ottenere privilegi di root e senza richiedere l'interazione dell'utente.

Spiegando i dettagli, il produttore di Ubuntu afferma: "In CVE-24024-48991 un aggressore locale può controllare l'interprete Python vincendo una race condition time-of-check time-of-use contro needrestart. In CVE-2024-10224, Qualys ha scoperto che l'input controllato dall'aggressore potrebbe causare l'esecuzione di comandi shell arbitrari da parte del modulo Perl Module::ScanDeps tramite open()ing di una ‘pipe fastidiosa’ (ad esempio passando "commands|" come nome file) o passando stringhe arbitrarie a eval(). Di per sé, questo non è sufficiente per l'escalation dei privilegi locali. Tuttavia, in CVE-2024-11003 needrestart passa l'input controllato dall'aggressore (nomi file) a Module::ScanDeps e attiva CVE-2024-10224 con privilegi di root. La correzione per CVE-2024-11003 rimuove la dipendenza di needrestart da Module::ScanDeps".

Ubuntu: le versioni della distribuzione interessate

Le versioni interessate da questo problema sono Ubuntu 22.04 LTS, Ubuntu 24.04 LTS e Ubuntu 24.10. Ciò vale per sia le installazioni server e sia per quelle desktop. Tuttavia, anche le release precedenti potrebbero essere colpite. Gli utenti interessati possono eseguire il comando: apt list --installed | grep "^\(needrestart\|libmodule-scandeps-perl\)". Coloro che hanno needrestart con 3.5-5ubuntu2.1 su 22.04, 3.6-7ubuntu4.1 su 24.04 o 3.6-8ubuntu4 su 24.10, devono aggiornare il pacchetto. Per aggiornare questi pacchetti in modo specifico, basta usare il comando: sudo apt update && sudo apt install --only-upgrade needrestart libmodule-scandeps-perl. Dovrebbe essere ovvio, ma se si utilizza un computer connesso a Internet, è importante installare regolarmente gli aggiornamenti, in modo che gli aggressori non possano sfruttare le vulnerabilità.