Linux Çökme Raporlama Kusurları (CVE-2025-5054, 4598) Parola Karmalarını Açığa Çıkarın

Qualys, Apport ve systemd-coredump gibi Linux çökme raporlama araçlarını etkileyen kritik güvenlik açıkları olan CVE-2025-5054 ve CVE-2025-4598'i ayrıntılarıyla anlatıyor. Ubuntu, Red Hat ve Fedora sistemlerinizi nasıl koruyacağınızı öğrenin.

Qualys'teki siber güvenlik uzmanları, yaygın Linux işletim sistemlerindeki iki önemli zayıflığı ortaya çıkardı. Apport ve systemd-coredump adlı yazılım araçlarında bulunan bu bilgi ifşa güvenlik açıkları, saldırganların etkilenen sistemlerden parola karmaları gibi hassas bilgileri çalmasına izin verebilir, Qualys'in Hackread.com ile paylaştığı rapor ortaya koyuyor.

Qualys Threat Research Unit (TRU) bu sorunları yarış koşulu zafiyetleri olarak tanımladı. Bu, bir saldırganın yetkisiz erişim elde etmek için bir programın verileri işlediği kısa bir zaman dilimini istismar edebileceği anlamına gelir.

CVE-2025-5054 olarak izlenen bir güvenlik açığı, Ubuntu'nun çökmeleri bildirmek için yerleşik sistemi olan Apport etkiler. Bu kusur, çöken bir işlemin bir kapsayıcıdaki başka bir işlemle değiştirilip değiştirilmediğini tespit etmek için yapılan bir denetimin çok geç gerçekleşmesi nedeniyle oluşur. Bu, hassas bilgilerin kapsayıcıya gönderilmesine ve potansiyel olarak sızdırılmasına yol açabilir.

İkincisi, CVE-2025-4598 , Red Hat Enterprise Linux 9 ve 10'da ve Fedora'da varsayılan çökme işleyicisi olarak hizmet veren benzer bir araç olan systemd-coredump hedef alır. Bu kusur, bir saldırganın bir SUID işlemini (özel izinlerle çalışan bir program) çökertmesine ve onu hızla normal bir programla değiştirmesine olanak tanır.

Saldırgan bu yarışı kazanırsa, orijinal SUID sürecinin çekirdek dökümünü okuyabilir ve /etc/shadow dosyasındaki parola karmaları gibi belleğindeki hassas verilere erişebilir.

Hem Apport hem de systemd-coredump çekirdek dökümleri (bir program çöktüğünde belleğinin anlık görüntüleri) oluşturmak için tasarlanmıştır. Bu dökümler, yazılım sorunlarını düzeltmeye çalışan geliştiriciler için çok yararlıdır. Ancak, parolalar veya şifreleme anahtarları gibi özel bilgiler de içerebilirler. Normalde, bu dosyalara erişim kötüye kullanımı önlemek için kısıtlanır.

Qualy'nin blog yazısına göre, TRU'su yerel bir saldırganın bu güvenlik açıklarını nasıl kullanabileceğini gösteren kavram kanıtları (POC'ler) oluşturdu. Özellikle, bir saldırganın kullanıcı parolalarını kontrol eden unix_chkpwd gibi çökmüş bir programı kullanarak /etc/shadow dosyasından, kullanıcı parolalarını içeren kritik bir sistem dosyasından parola karmalarını nasıl çalabileceğini gösterdiler.

“Apport ve systemd-coredump'taki güvenlik açıklarının istismar edilmesi, saldırganların çekirdek dökümlerinden parolalar, şifreleme anahtarları veya müşteri bilgileri gibi hassas verileri çıkarabilmesi nedeniyle gizliliğin yüksek risk altında ciddi şekilde tehlikeye atılmasına neden olabilir.”

Saeed Abbasi, Ürün Yöneticisi – Tehdit Araştırma Birimi, Qualys

Birçok Linux sistemi bu yeni keşfedilen kusurlardan etkileniyor. Apport için, 16.04'ten bu yana tüm Ubuntu sürümleri savunmasızdır ve son Ubuntu 24.04 dahil olmak üzere 2.33.0'a kadar olan sürümler etkilenmektedir.

Tersine, systemd-coredump için Fedora 40 ve 41, Red Hat Enterprise Linux 9 ve yeni yayınlanan RHEL 10 ile birlikte risk altındadır. Debian sistemleri systemd-coredump elle kurulmadığı sürece genellikle varsayılan olarak güvenlidir.

Bu açıkların istismar edilmesi ciddi güvenlik ihlallerine yol açabilir, hassas verilerin gizliliğini riske atabilir ve potansiyel olarak sistem kesintilerine veya kuruluşların itibarının zedelenmesine neden olabilir.

Sistemleri korumaya yardımcı olmak için Qualys, /proc/sys/fs/suid_dumpable parameter 0 olarak ayarlamayı önerir. Bu, özel izinlerle çalışan programlar için çekirdek dökümlerini devre dışı bırakır ve anında yazılım yamaları mevcut değilse geçici bir düzeltme görevi görebilir. Qualys ayrıca kuruluşların bu güvenlik açıklarını tespit etmesine yardımcı olmak için QID 383314 gibi yeni güvenlik tarama kimlikleri (QID'ler) yayınlıyor.

Kapsamlı sertifika yaşam döngüsü yönetimi (CLM) sağlayıcısı olan Scottsdale, Arizona merkezli Sectigo'da Kıdemli Üye olan Jason Soroko , çökme yönetiminin güvenli bir veri hattı olarak ele alınmasını, döküm işlemenin izole edilmesini veya devre dışı bırakılmasını, dökümlerin şifrelenmesini, sınıflandırma sonrası verilerin parçalanmasını ve işleyici kontrollerinin sıkılaştırılmasını öneriyor; böylece riski azaltıp gelecekteki tehditlerin önüne geçilebiliyor.