IT之家10月6日消息，近日曝光了一个名为Looney Tunables的漏洞，追踪编号为CVE-2023-4911。这个漏洞影响了包括Debian 12/13、Ubuntu 22.04/23.04和Fedora 37/38在内的主流Linux发行版。

这个漏洞存在于GNU C库动态加载程序中，攻击者可以利用这个漏洞制造缓冲区溢出，并获得root权限。攻击者可以使用由ld.so动态加载程序制作的GLIBC_TUNABLES环境变量触发，在利用SUID权限安装文件时，能够以root权限执行任意代码。

Qualys于周二披露了这个漏洞，几位安全研究人员已经发布了适用于某些系统配置的概念验证(PoC)漏洞利用代码。独立安全研究员Peter Geissler(blasty)在今天早些时候发布了PoC代码，并确认可以攻击Linux发行版。这个漏洞的发现再次提醒了我们，安全问题是我们必须时刻警惕的。