Apport (Ubuntu) Race Condition Information Disclosure - systemd-coredump (RHEL, Fedora)
Admin
October 14, 2025
Translate to:
Las vulnerabilidades CVE-2025-5054 y CVE-2025-4598 afectan de forma crítica la seguridad de sistemas Linux, exponiendo datos sensibles a través de la explotación de condiciones de carrera en el manejo de core dumps de procesos SUID. A continuación se ofrece información ampliada sobre cada una:
CVE-2025-5054 – Apport (Ubuntu) Race Condition Information Disclosure
Descripción técnica
- Tipo: Condición de carrera (race condition) en el manejador de core dumps Apport (Ubuntu 16.04–24.04; versiones hasta 2.33.0).
- Cómo funciona: El atacante local explota la reutilización de PID y el uso de Linux namespaces para interceptar el manejo de un core dump generado por un proceso SUID (Set User ID). Mediante timing preciso, puede redirigir el core dump —que habitualmente contiene información privilegiada, como hashes de
/etc/shadow— hacia un espacio de nombres controlado, obteniendo así acceso a datos del proceso original. - Impacto: Filtración de información sensible (hashes de contraseñas, datos confidenciales en memoria), exposición local de credenciales, elevación potencial de privilegios posteriores.
Mitigación recomendada
- Establecer:
echo 0 > /proc/sys/fs/suid_dumpable
para desactivar core dumps en binarios SUID.
- Actualizar Apport a versiones corregidas (consultar Canonical).
- Implantar autenticación sin contraseña donde sea viable para reducir riesgos.
CVE-2025-4598 – systemd-coredump (RHEL, Fedora)
Descripción técnica
- Tipo: Condición de carrera en el manejador de core dumps systemd-coredump (utilizado en Red Hat Enterprise Linux 9/10 y Fedora 40/41).
- Cómo funciona: El atacante local fuerza el crash de un proceso SUID (por ejemplo, unix_chkpwd para verificación de contraseñas) y, mediante rápida manipulación del PID (reciclaje), lo reemplaza por un binario no privilegiado. Si el ataque es exitoso, systemd-coredump genera el core dump del proceso original (privilegiado) pero vinculado al nuevo binario, otorgando acceso de lectura al contenido de memoria (hashes, llaves, etc.).
- Impacto: Acceso no autorizado local a la memoria de procesos privilegiados, exfiltración de hashes, llaves y credenciales, exposición de datos críticos.
Mitigación recomendada
- Igual que en Apport, desactivar core dumps para SUID:
echo 0 > /proc/sys/fs/suid_dumpable
- Comprobar y ajustar los parámetros de systemd-coredump para limitar qué procesos pueden generar dumps.
- Monitorizar crash y actividad anómala en procesos privilegiados.
Comparativa técnica
| Vulnerabilidad | Componente afectado | Sistema/base | Método de ataque | Impacto principal | Mitigación |
|---|---|---|---|---|---|
| CVE-2025-5054 | Apport | Ubuntu | Reutilización de PID + namespaces | Lectura y filtración de core dumps | Desactivar SUID dumps, parche |
| CVE-2025-4598 | systemd-coredump | RHEL/Fedora | Crash + reemplazo de PID (race) | Lectura de memoria de procesos SUID | Desactivar SUID dumps, parche |
Referencias técnicas
- Análisis y PoC: [nquiringminds], [MojoAuth], [Wiz DB], [Debian Tracker], [GitHub Advisories], [Oracle Linux Blog], [CIQ Blog].
Estas vulnerabilidades han generado preocupación por el robo local de credenciales a escala global en sistemas Linux y destacan la importancia de endurecer el manejo de core dumps y revisar procesos SUID en todas las distribuciones afectadas.
Comments (0)
No comments yet. Be the first to comment!