Afectan a Ubuntu, Red Hat Enterprise Linux y Fedora
Según la Unidad de Investigación de Amenazas de Qualys (TRU), se han identificado dos fallas de divulgación de información en apport y systemd-coredump, los controladores de volcado de núcleo de Ubuntu, Red Hat Enterprise Linux y Fedora.
Identificadas como CVE-2025-5054 y CVE-2025-4598, ambas vulnerabilidades son errores de condición de carrera que podrían permitir a un atacante local acceder a información confidencial. Herramientas como Apport y systemd-coredump están diseñadas para gestionar informes de fallos y volcados de memoria en sistemas Linux.
"Estas condiciones de carrera permiten a un atacante local explotar un programa SUID y obtener acceso de lectura al volcado de núcleo resultante", dijo Saeed Abbasi, gerente de producto de Qualys TRU.
A continuación, se presenta una breve descripción de las dos vulnerabilidades:
• CVE-2025-5054 (puntuación CVSS: 4.7): Una condición de carrera en el paquete Apport de Canonical hasta la versión 2.32.0 inclusive, que permite a un atacante local filtrar información confidencial mediante la reutilización de PID aprovechando los espacios de nombres.
• CVE-2025-4598 (puntuación CVSS: 4,7): una condición de carrera en systemd-coredump que permite a un atacante forzar el bloqueo de un proceso SUID y reemplazarlo con un binario no SUID para acceder al volcado de memoria del proceso privilegiado original, lo que permite al atacante leer datos confidenciales, como el contenido de /etc/shadow, cargado por el proceso original.
SUID, abreviatura de Set User ID, es un permiso de archivo especial que permite a un usuario ejecutar un programa con los privilegios de su propietario, en lugar de sus propios permisos.
"Al analizar fallas de aplicaciones, apport intenta detectar si el proceso que provoca la falla se estaba ejecutando dentro de un contenedor antes de realizar comprobaciones de consistencia en él", dijo Octavio Galland de Canonical.
"Esto significa que si un atacante local logra provocar un bloqueo en un proceso privilegiado y lo reemplaza rápidamente por otro con el mismo ID de proceso que reside dentro de un espacio de nombres mount y pid, apport intentará reenviar el volcado de memoria (que podría contener información confidencial del proceso privilegiado original) al espacio de nombres".
Red Hat afirmó que CVE-2025-4598 ha sido calificado como de gravedad moderada debido a la alta complejidad para explotar la vulnerabilidad, y señaló que el atacante primero debe ganar la condición de carrera y estar en posesión de una cuenta local sin privilegios.
Como mitigación, Red Hat dijo que los usuarios pueden ejecutar el comando "echo 0 > /proc/sys/fs/suid_dumpable" como usuario root para deshabilitar la capacidad de un sistema de generar un volcado de núcleo para los binarios SUID.
El parámetro "/proc/sys/fs/suid_dumpable" controla si los programas SUID pueden generar volcados de memoria tras un fallo. Al establecerlo en cero, se desactivan los volcados de memoria para todos los programas SUID y se impide su análisis en caso de fallo.
"Si bien esto mitiga esta vulnerabilidad cuando no es posible actualizar el paquete systemd, deshabilita la capacidad de analizar fallas para dichos binarios", dijo Red Hat.
Amazon Linux, Debian y Gentoo han emitido avisos similares. Cabe destacar que los sistemas Debian no son susceptibles a CVE-2025-4598 por defecto, ya que no incluyen ningún gestor de volcado de memoria a menos que se instale manualmente el paquete systemd-coredump. CVE-2025-4598 no afecta a las versiones de Ubuntu.
Qualys también ha desarrollado un código de prueba de concepto (PoC) para ambas vulnerabilidades, demostrando cómo un atacante local puede explotar el volcado de núcleo de un proceso unix_chkpwd bloqueado, que se utiliza para verificar la validez de la contraseña de un usuario, para obtener hashes de contraseña del archivo /etc/shadow.
Canonical, en una alerta propia, dijo que el impacto de CVE-2025-5054 está restringido a la confidencialidad del espacio de memoria de los ejecutables SUID invocados y que el exploit PoC puede filtrar contraseñas de usuarios en hash y tiene un limitado impacto en el mundo real.
"La explotación de vulnerabilidades en Apport y systemd-coredump puede comprometer gravemente la confidencialidad con un alto riesgo, ya que los atacantes podrían extraer datos confidenciales, como contraseñas, claves de cifrado o información de clientes de los volcados de memoria", dijo Abbasi.
"Las consecuencias incluyen tiempo de inactividad operativa, daño a la reputación y posible incumplimiento de las regulaciones. Para mitigar eficazmente estos riesgos multifacéticos, las empresas deben adoptar medidas de seguridad proactivas priorizando parches y mitigaciones, implementando una monitorización robusta y reforzando los controles de acceso".
