3519 подписчиков
#news В основных дистрибутивах Linux обнаружена очередная критическая уязвимость на root-доступ. На этот раз переполнение буфера на основе кучи и локальное повышение привилегий в glibc, CVE-2023-6246.
Баг случайно ввели в версии glibc 2.37 ещё в августе 2022-го, а затем бэкпортировали в 2.36 в процессе исправления другой, менее серьёзной уязвимости. Затронуты Debian 12 и 13, Ubuntu 23.04 и 23.10, Fedora с 37 по 39. При этом исследователи изучили лишь несколько дистрибутивов, и, очевидно, уязвимы ещё многие другие. В общем, очередной пример критической важности инфобеза в разработке ключевых библиотек. Один неловкий бэкпорт, и уязвимы сотни тысяч систем. Подробнее об этой и трёх других уязвимостях, обнаруженных в glibc, в отчёте.
Около минуты
31 января 2024