In der zentralen GNU libc Bibliothek gibt es eine Lücke, durch die Angreifer Root-Rechte erhalten kann. Die Voraussetzung ist aber, dass schon ein Login auf dem Rechner vorhanden ist, da dafür die Umgebungsvariable GLIBC_TUNABLES gesetzt werden muss.

Die Sicherheitslücke mit dem Namen Looney Tunables (Namen wurde von Qualys vergeben) wird als CVE-2023-4911 mit einem CVSS-Wert von 7.8 geführt und stellt demnach ein hohes Risiko dar.

Für Ubuntu, Debian und die meisten RedHat-basierten Linux bieten inzwischen eine aktuelle Version an, in der die Probleme behoben sind.

Im Fall von RHEL, OL sind nur die Releases 8 und 9 sowie die KVM/LVM Virtualisierung betroffen.

Da zur Ausnutzung der Lücke ein lokales Login benötigt wird, ist die Gefahr bei reinen Datenbankserver Lösungen in den meisten Fällen etwas geringer. Der Patch gehört aber trotzdem kurzfristig eingespielt.