Изучая патч для недавно исправленной уязвимости в библиотеке GNU C (glibc), инженеры по кибербезопасности обнаружили еще одну проблему, которая, по их словам, затрагивала все дистрибутивы Linux.
Инженер CloudLinux Никита Попов случайно наткнулся на уязвимость, которая может быть классифицирована как отказ в обслуживании в вышестоящем Glic. Попов считает, что ошибка, отслеживаемая как CVE-2021-38604, может быть использована для того, чтобы вызвать ошибку сегментации, вызывающую сбой приложения.
«Помните, что glibc предоставляет основные системные примитивы и связан с большинством, если не всеми, другими приложениями Linux, включая компиляторы и интерпретаторы других языков. Это второй по важности компонент системы после самого ядра », — написал CloudLinux в своем блоге.
Сообщая о разработке, ZDNet утверждает, что первая проблема с glibc была не такой уж плохой. Фактически, инженер Red Hat объяснил, что эту ошибку нелегко использовать и необходимо выполнить несколько условий, прежде чем она сможет негативно повлиять на какое-либо приложение.
Ошибка все еще нуждалась в исправлении, но патч представил уязвимость, связанную с отказом в обслуживании, которая, как сообщается, может быть запущена без особых проблем.
CloudLinux опубликовал информацию об уязвимости и исправлении, которое с тех пор было добавлено в исходную версию glibc. Кроме того, он также представил новый тест для автоматизированного набора тестов glibc, чтобы предотвратить повторное появление ошибки.
«Иногда изменения в несвязанных путях кода могут привести к изменению поведения в другом месте кода, и программист не осознает этого. Этот тест выявит эту ситуацию », — пишет CloudLinux.
Источник: