Se han identificado dos fallas de divulgación de información en Apport y Systemd-Coredump, los manejadores de volcado de núcleo en Ubuntu, Red Hat Enterprise Linux y Fedora, según la Unidad de Investigación de Amenazas de Qualys (TRU).
Rastreado como CVE-2025-5054 y CVE-2025-4598, ambas vulnerabilidades son errores de condición de carrera que podrían permitir que un atacante local obtenga acceso para acceder a la información confidencial. Herramientas como Apport y Systemd-Coredump están diseñadas para manejar informes de bloqueo y volcados de núcleo en los sistemas Linux.
«Estas condiciones de carrera permiten a un atacante local explotar un programa Suid y obtener acceso de lectura al vertedero de núcleo resultante», dijo Saeed Abbasi, gerente de producto de Qualys Tru.
Una breve descripción de los dos defectos está a continuación –
- CVE-2025-5054 (Puntuación CVSS: 4.7): una condición de carrera en el paquete de aportación canónica hasta 2.32.0 que permite a un atacante local filtrarse información confidencial a través de PID -Reuse aprovechando espacios de nombres
- CVE-2025-4598 (Puntuación CVSS: 4.7): una condición de carrera en Systemd-Coredump que permite a un atacante obligar a un proceso Suid a bloquearlo y reemplazarlo con un binario no Suídico para acceder al proceso privilegiado del original, Coredump,, lo que permite al atacante leer datos confidenciales, como el contenido /etc. /etc., cargado por el proceso original del proceso original.
Suid, abreviatura de Set User ID, es un permiso especial de archivo que permite a un usuario ejecutar un programa con los privilegios de su propietario, en lugar de sus propios permisos.
«Al analizar los bloqueos de la aplicación, Apport intenta detectar si el proceso de bloqueo se estaba ejecutando dentro de un contenedor antes de realizar verificaciones de consistencia», dijo Octavio Galland de Canonical.
«Esto significa que si un atacante local logra inducir un bloqueo en un proceso privilegiado y lo reemplaza rápidamente con otro con la misma identificación de proceso que reside dentro de un espacio de nombres de montaje y PID, el aporto intentará reenviar el volcado central (que podría contener información confidencial que pertenece al proceso original y privilegiado) en el espacio de nombres».
Red Hat dijo que CVE-2025-4598 ha sido calificado moderado en severidad debido a la alta complejidad para extraer una exploit por la vulnerabilidad, señalando que el atacante primero debe primero la condición racial y estar en posesión de una cuenta local no privilegiada.
Como mitigaciones, Red Hat dijo que los usuarios pueden ejecutar el comando «echo 0>/proc/sys/fs/suid_dumpable» como usuario raíz para deshabilitar la capacidad de un sistema para generar un volcado central para binarios Suid.
El parámetro «/proc/sys/fs/suid_dumpable» esencialmente controla si los programas Suid pueden producir volcados centrales en el bloqueo. Al establecerlo en cero, deshabilita los vertederos de núcleo para todos los programas Suid y evita que se analicen en caso de un bloqueo.
«Si bien esto mitiga esta vulnerabilidad, aunque no es posible actualizar el paquete SystemD, deshabilita la capacidad de analizar bloqueos para tales binarios», dijo Red Hat.
Avanzamientos similares han sido emitidos por Amazon Linux, Debian y Gentoo. Vale la pena señalar que los sistemas Debian no son susceptibles a CVE-2025-4598 de forma predeterminada, ya que no incluyen ningún controlador de volcado de núcleo a menos que el paquete SystemD-Coredump esté instalado manualmente. CVE-2025-4598 no afecta las versiones de Ubuntu.
Qualys también ha desarrollado el código de prueba de concepto (POC) para ambas vulnerabilidades, lo que demuestra cómo un atacante local puede explotar el COREDUMP de un proceso unix_chkpwd unix_chkpwd, que se utiliza para verificar la validez de la contraseña de un usuario, para obtener hashas de contraseña del archivo /etc /sombra.
Canonical, en una alerta, dijo que el impacto de CVE-2025-5054 está restringido a la confidencialidad del espacio de memoria de los ejecutables de Suid invocados y que la exploit de POC puede filtrar las contraseñas de los usuarios ha limitado el impacto del mundo real.
«La explotación de vulnerabilidades en Apport y Systemd-Coredump puede comprometer severamente la confidencialidad a alto riesgo, ya que los atacantes podrían extraer datos confidenciales, como contraseñas, claves de cifrado o información del cliente de los vertederos centrales», dijo Abbasi.
«Las consecuencias incluyen tiempo de inactividad operacional, daño de reputación y un posible incumplimiento de las regulaciones. Para mitigar estos riesgos multifacéticos de manera efectiva, las empresas deben adoptar medidas de seguridad proactivas priorizando parches y mitigaciones, aplicando monitoreo robusto y controles de acceso ajustado».
