Vulnerabilidad en iconv identificada por el equipo TuxCare (CVE-2021-43396)

Iconv es una biblioteca utilizada para convertir entre diferentes codificaciones de caracteres y forma parte de un grupo central de herramientas y bibliotecas utilizadas para realizar tareas de nivel básico llamado glibc (GNU C Library). Según la venerable documentación de glibc, permite la conversión de caracteres entre 150 juegos de caracteres diferentes.

Durante el trabajo regular en el servicio de Soporte de Ciclo de Vida Extendido (ELS) de TuxCare, en el que se crean parches para distribuciones Linux antiguas que ya han pasado su fecha de caducidad, el equipo identificó una vulnerabilidad desconocida hasta entonces en una ruta de código dentro de iconv. Pero, por supuesto, encontrar el fallo es sólo la mitad del trabajo, por lo que también se desarrolló y envió una solución.

Los parches para los sistemas cubiertos por ELS ya están disponibles para su despliegue.

La vulnerabilidad real se produce cuando se activa una conversión específica; en concreto, una conversión de ISO-2022-JP-3 podría provocar la emisión de un carácter NUL espurio. Esto podría activarse trivialmente pasando una secuencia de escape que cambie el conjunto de caracteres activo. Dependiendo del caso de uso, un carácter NUL adicional recibido por una aplicación de llamada podría provocar la corrupción de datos o un comportamiento incoherente.

Este error se introdujo como parte de la corrección de errores 27256, como esta comprobación:

que se añadió mediante esa corrección de errores se comporta como si '�', el carácter NUL, estuviera en cola y procede a emitirlo en la salida.

Cuando se le preguntó si creía que el fallo era explotable actualmente, Nikita Popov, el miembro del equipo detrás del descubrimiento, comentó: "Este caso puede estar causado por un patrón de uso especial de glibc. Es algo similar a nuestro fallo anterior (y es nativo de todas las bibliotecas debido a su naturaleza: una biblioteca compartida es tan vulnerable como que una aplicación anfitriona tenga la mala suerte de utilizar un conjunto desafortunado de llamadas a la biblioteca en una secuencia específica)."

Esta es otra de las contribuciones de TuxCare a proyectos upstream y también otra vulnerabilidad identificada por el mismo miembro del equipo, tras una identificada en glibc hace unas semanas.

En consonancia con las mejores prácticas del sector en materia de divulgación responsable de vulnerabilidades, se notificó a los desarrolladores de versiones anteriores. Además, se envió al repositorio del proyecto correspondiente un parche para corregir el problema subyacente. Debido a las implicaciones de seguridad implícitas en un problema que potencialmente puede causar problemas de integridad de datos, se solicitó y asignó un CVE, CVE-2021-43396. La existencia de una entrada CVE debería acelerar la incorporación de la versión corregida en las distribuciones Linux más extendidas.

Redhat ya asignó una puntuación base CVSS v3 de 7,5 al evaluar su impacto en RHEL 6 a 8. El NIST también asignó una puntuación de 7 ,5, lo que significa que la vulnerabilidad tiene un riesgo/impacto Alto. La priorización de vulnerabilidades para las operaciones de aplicación de parches debería tener en cuenta esta información a la hora de preparar las próximas ventanas de mantenimiento.

El número cada vez mayor de vulnerabilidades encontradas es un aspecto visible de que cada vez más investigadores y desarrolladores revisan el código, el código fuente abierto. Aunque un mayor número de vulnerabilidades suele significar más trabajo para los equipos informáticos, la ventaja es que detectar estos problemas antes de que lleguen a explotarse es el mejor resultado posible.

El equipo TuxCare seguirá trabajando para garantizar la seguridad de las distribuciones Linux antiguas y nuevas, con un fuerte compromiso con el código abierto y los proyectos upstream.

Si quieres saber más sobre TuxCare, su servicio de asistencia técnica ampliada o su servicio de asistencia técnica para Linux, puedes encontrar más información aquí.

[Actualización 11/11 - En aras de la transparencia, el estado de la CVE está siendo disputado. Mientras que el bug ha sido reconocido y la corrección resuelve el problema, el vector de ataque requerido para explotarlo se menciona como específico de la aplicación - la aplicación que llama a iconv tendría que pasar los valores en un orden específico - en lugar de específico de iconv. Puede encontrar más información al respecto en la descripción del CVE aquí https://nvd.nist.gov/vuln/detail/CVE-2021-43396. Este es un ejemplo del proceso de revisión en torno a la presentación de errores de trabajo en el ecosistema de código abierto. Este post se actualizará con nuevos desarrollos si/cuando ocurran].