10/09/2023にlibcueの脆弱性(CVE-2023-43641)が公開されました。GNOMEデスクトップ環境のユーザがリンクをクリックするだけでコードが実行されるというヤバイものになります。Ubuntu 23.04と Fedora 38ではコード実行が可能だった様です。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
CVSS/プライオリティ
- CVE-2023-43641
- 影響するバージョン
- libcue 2.2.1
- 一次情報源
- Priority
- Not yet published
- CVSS Score / CVSS Vector
- Not yet published
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-43641
- GNOMEデスクトップ上でのリモートコード実行の可能性
- libcueには、コード上で整数オーバーフローと値の入力チェックが不完全な部分がありましたこちらにバグの情報が詳しく載っています。 libcueはCD上のトラックのレイアウトを記述する為のメタデータ形式であるCue Sheetを解析するために使用されるライブラリであり、オーディオファイル形式と組み合わせて使用されることがよくあります。このlibcueはtracker-minersに含まれるアプリケーションであり、tracker-minersは多くのGNOMEでのデスクトップ環境で、ディレクトリ内のファイルにインデックスを付けて検索できるような目的で使用されています。 これらの状況から、攻撃者はlibcueの脆弱性を悪用して、悪意の有るリンクを謝ってクリックさせることでLinux Desktop(GNOMEを使用)上でコードを実行することが可能です。
- PoCの動画もこちらのGitHubで公開されています。PoCのコード事態は状況を鑑みて公開は延期されている様です。Ubuntu 23.04と Fedora 38ではコード実行が可能だった様です。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
