CVE-2024-2961 fiks på eldre ubuntu (php)

Hvis du kjører et eldre ubuntu system, som ikke har fått en oppdatering til libc6-dev-bin – som retter feilen for CVE-2024-2961 – så kan det være en god idé å gjøre visse endringer til dine gconvb-moduler.

Sjekk først følgende:

iconv -l | grep -E 'CN-?EXT'

Ser du følgende , kan ditt system være sårbart:

root@webserver:~# iconv -l | grep -E 'CN-?EXT'
ISO-2022-CN-EXT//
ISO2022CNEXT//
root@webserver:~#

NB! Det er viktig å understreke at hvis du har et oppdatert system, f.eks. jammy eller nyere, så vil dette være rettet i versjon 2.35-0ubuntu3.7 eller nyere av pakken. Du vil da allikevel få opp de linjene som vist ovenfor, så det er viktig å legge merke til at får du opp tekstlinjene ovenfor, ikke er tilsvarende med at du er sårbar for denne CVEen!

Hvordan kan du allikevel fikse dette?

Hvis du ikke får oppdatert libc6 på systemet ditt, kan du kommentere ut to tegnsett som kan skape problemer for deg:

sudo nano /usr/lib/x86_64-linux-gnu/gconv/gconv-modules

Det er tre linjer som kan kommenteres ut:

#       from                    to                      module          cost
alias  ISO2022CNEXT//          ISO-2022-CN-EXT//
module ISO-2022-CN-EXT//       INTERNAL                ISO-2022-CN-EXT 1
module INTERNAL                ISO-2022-CN-EXT//       ISO-2022-CN-EXT 1

Dette endrer du til (legge til # foran linjene)

#       from                    to                      module          cost
#alias  ISO2022CNEXT//          ISO-2022-CN-EXT//
#module ISO-2022-CN-EXT//       INTERNAL                ISO-2022-CN-EXT 1
#module INTERNAL                ISO-2022-CN-EXT//       ISO-2022-CN-EXT 1

Etter dette skriver du:

sudo iconvconfig

Nå skal du få opp følgende, når du skriver kommandoen iconv -l | grep -E ‘CN-?EXT’

root@webserver:~# iconv -l | grep -E 'CN-?EXT'
root@webserver:~#

Hva du egentlig bør gjøre

Du bør uansett se på muligheten til å oppgradere systemet ditt, til en nyere veriant av Ubuntu, f.eks. 24.04 LTS (Noble Numbat) i skrivende stund.