Специалисты по ИТ-безопасности из компании Google сообщили в своем блоге, что на днях была «случайно» обнаружена критическая уязвимость в стандартной библиотеке языка Си проекта GNU — glibc.
Уязвимость, получившая номер CVE-2015-7547, была зафиксирована при работе неназванного инженера над запросом о падениях SSH-клиента. Исследование возможностей, открываемых этой проблемой, привело к созданию полноценно работающего эксплоита, позволяющего удалённо выполнять произвольный код. К удивлению экспертов выяснилось, что разработчиков библиотеки glibc, в которой и содержится сама уязвимость (переполнение при вызове функции getaddrinfo), уведомляли об этом ещё в июле 2015 года.
Одновременно с Google этой проблемой занимались специалисты из Red Hat. Совместная работа инженеров принесла плоды в виде патча. Производители популярных GNU/Linux-дистрибутивов, подверженных уязвимости CVE-2015-7547, уже опубликовали обновления. Например, пользователи Ubuntu получили автоматическое обновление пакетов libc минувшей ночью.
оригинал на www.nixp.ru
[NIXP] В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547
Модератор: Модераторы разделов
-
Dmitry Shurupov
- Сообщения: 336
- Статус: Open Source geek
- ОС: Ubuntu Linux
[NIXP] В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547
По-моему, это еще один повод перейти на Убунту.
-
Stauffenberg
- Сообщения: 2041
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: [NIXP] В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547
Все уже давным-давно обновились.
А вот как воспроизвести?
А вот как воспроизвести?
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)