Исправление в ключевой библиотеке ОС Linux породило серьезную уязвимость

Серьезную уязвимость в библиотеке glibc операционной системы (ОС) Linux обнаружил исследователь кибербезопасности из команды TuxCare компании CloudLinux Никита Попов, 16 августа сообщает американский портал новостей об информационных технологиях ZDNet.

Попов изучал изменения glibc, исправляющие серьезную, но трудно используемую уязвимость с кодом CVE-2021-33574 в библиотеке. Эта уязвимость позволяет злоумышленнику провести атаку, которая при сочетании множества условий позволит остановить выполнение целевой программы.

В ходе изучения пакета изменений исследователь выявил другую уязвимость, которая в дальнейшем получила код CVE-2021-38604. Внесенные в библиотеку изменения позволили вызывать у выполняемой программы ошибку сегментации (segmentation fault).

CVE-2021-38604 использовать гораздо проще, чем ранее исправленную уязвимость. Ее эксплуатация позволяет вызвать ошибку работы сервера типа отказ в обслуживании (DoS). Уязвимости присвоен рейтинг опасности CVSS 7,5 из 10.

Библиотека glibc используется практически во всех приложения ОС Linux. Поэтому эксплуатация уязвимости способна выводить из строя любые программы. Исследователь предложил вариант исправления кода и передал исправление команде разработчиков glibc.

Исправление стало частью версии glibc 2.34. В библиотеку добавлен новый автоматически тест, позволяющий выявлять подобные ситуации в будущем.