nixp.ru v3.0

22 декабря 2024,
воскресенье,
05:49:02 MSK

18 февраля 2016, 12:17

В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547

3
Заболевший пингвин
Заболевший пингвин
Иллюстрация с сайта Aerandria.Net

Специалисты по ИТ-безопасности из компании Google сообщили в своем блоге, что на днях была «случайно» обнаружена критическая уязвимость в стандартной библиотеке языка Си проекта GNU — glibc.

Уязвимость, получившая номер CVE-2015-7547, была зафиксирована при работе неназванного инженера над запросом о падениях SSH-клиента. Исследование возможностей, открываемых этой проблемой, привело к созданию полноценно работающего эксплоита, позволяющего удалённо выполнять произвольный код. К удивлению экспертов выяснилось, что разработчиков библиотеки glibc, в которой и содержится сама уязвимость (переполнение при вызове функции getaddrinfo), уведомляли об этом ещё в июле 2015 года.

Одновременно с Google этой проблемой занимались специалисты из Red Hat. Совместная работа инженеров принесла плоды в виде патча. Производители популярных GNU/Linux-дистрибутивов, подверженных уязвимости CVE-2015-7547, уже опубликовали обновления. Например, пользователи Ubuntu получили автоматическое обновление пакетов libc минувшей ночью.

Постоянная ссылка к новости: http://www.nixp.ru/news/13686.html. r1j1k по материалам Googleonlinesecurity.Blogspot.Co.Uk.

fb twitter vk
Дмитрий Шурупов

P.S. Перед публикацией текст немного дополнил (как раз сегодня обнаружили на многих машинах с Ubuntu Server автоматический выкат glibc) и картинку весёлую поставил :-)

r1j1k

Да, Убунту не устаёт радовать)

Bethrezen

Проверил обновление в Gentoo. Тоже появилось нечто вида
[ebuild U ] sys-libs/glibc-2.21-r2:2.2::gentoo [2.21-r1:2.2::gentoo]
Надеюсь, указанную проблему это обновление устраняет.