Se han identificado dos fallas de divulgación de información en Apport y Systemd-Coredump, los manejadores de volcado de núcleo en Ubuntu, Red Hat Enterprise Linux y Fedora, según la Mecanismo de Investigación de Amenazas de Qualys (TRU).
Rastreado como CVE-2025-5054 y CVE-2025-4598, ambas vulnerabilidades son errores de condición de carrera que podrían permitir que un atacante específico obtenga acercamiento para lograr a la información confidencial. Herramientas como Apport y Systemd-Coredump están diseñadas para manejar informes de incomunicación y volcados de núcleo en los sistemas Linux.
“Estas condiciones de carrera permiten a un atacante específico explotar un software Suid y obtener acercamiento de lección al vertedero de núcleo resultante”, dijo Saeed Abbasi, director de producto de Qualys Tru.
Una breve descripción de los dos defectos está a continuación –
- CVE-2025-5054 (Puntuación CVSS: 4.7): una condición de carrera en el paquete de aporte canónica hasta 2.32.0 que permite a un atacante específico filtrarse información confidencial a través de PID -Reuse aprovechando espacios de nombres
- CVE-2025-4598 (Puntuación CVSS: 4.7): una condición de carrera en Systemd-Coredump que permite a un atacante exigir a un proceso Suid a bloquearlo y reemplazarlo con un binario no Suídico para lograr al proceso privilegiado del diferente, Coredump,, lo que permite al atacante percibir datos confidenciales, como el contenido /etc. /etc., cargado por el proceso diferente del proceso diferente.
Suid, iniciales de Set User ID, es un permiso distinto de archivo que permite a un favorecido ejecutar un software con los privilegios de su propietario, en motivo de sus propios permisos.
“Al analizar los bloqueos de la aplicación, Apport intenta detectar si el proceso de incomunicación se estaba ejecutando interiormente de un contenedor ayer de realizar verificaciones de consistencia”, dijo Octavio Galland de Canonical.
“Esto significa que si un atacante específico logra inducir un incomunicación en un proceso privilegiado y lo reemplaza rápidamente con otro con la misma identificación de proceso que reside interiormente de un espacio de nombres de montaje y PID, el aporto intentará reenviar el volcado central (que podría contener información confidencial que pertenece al proceso diferente y privilegiado) en el espacio de nombres”.
Red Hat dijo que CVE-2025-4598 ha sido calificado moderado en severidad adecuado a la suscripción complejidad para extraer una exploit por la vulnerabilidad, señalando que el atacante primero debe primero la condición étnico y estar en posesión de una cuenta específico no invitada.
Como mitigaciones, Red Hat dijo que los usuarios pueden ejecutar el comando “echo 0>/proc/sys/fs/suid_dumpable” como favorecido raíz para deshabilitar la capacidad de un sistema para ocasionar un volcado central para binarios Suid.
El parámetro “/proc/sys/fs/suid_dumpable” esencialmente controla si los programas Suid pueden producir volcados centrales en el incomunicación. Al establecerlo en cero, deshabilita los vertederos de núcleo para todos los programas Suid y evita que se analicen en caso de un incomunicación.
“Si admisiblemente esto mitiga esta vulnerabilidad, aunque no es posible refrescar el paquete SystemD, deshabilita la capacidad de analizar bloqueos para tales binarios”, dijo Red Hat.
Avanzamientos similares han sido emitidos por Amazon Linux, Debian y Gentoo. Vale la pena señalar que los sistemas Debian no son susceptibles a CVE-2025-4598 de forma predeterminada, ya que no incluyen ningún regulador de volcado de núcleo a menos que el paquete SystemD-Coredump esté instalado manualmente. CVE-2025-4598 no afecta las versiones de Ubuntu.
Qualys todavía ha desarrollado el código de prueba de concepto (POC) para ambas vulnerabilidades, lo que demuestra cómo un atacante específico puede explotar el COREDUMP de un proceso unix_chkpwd unix_chkpwd, que se utiliza para demostrar la validez de la contraseña de un favorecido, para obtener hashas de contraseña del archivo /etc /sombra.
Canonical, en una alerta, dijo que el impacto de CVE-2025-5054 está restringido a la confidencialidad del espacio de memoria de los ejecutables de Suid invocados y que la exploit de POC puede filtrar las contraseñas de los usuarios ha establecido el impacto del mundo positivo.
“La explotación de vulnerabilidades en Apport y Systemd-Coredump puede comprometer severamente la confidencialidad a detención peligro, ya que los atacantes podrían extraer datos confidenciales, como contraseñas, claves de enigmático o información del cliente de los vertederos centrales”, dijo Abbasi.
“Las consecuencias incluyen tiempo de inactividad operacional, daño de reputación y un posible incumplimiento de las regulaciones. Para mitigar estos riesgos multifacéticos de modo efectiva, las empresas deben adoptar medidas de seguridad proactivas priorizando parches y mitigaciones, aplicando monitoreo robusto y controles de acercamiento conveniente”.
