En étudiant le correctif pour une vulnérabilité récemment corrigée dans la bibliothèque GNU C (glibc), la cyber-sécurité les ingénieurs ont découvert un autre problème qui, selon eux, a affecté chaque distribution Linux.
CloudLinux L’ingénieur Nikita Popov est tombé par hasard sur ce qui peut être essentiellement classé comme une vulnérabilité de déni de service dans le glic en amont. Popov pense que le bogue, suivi comme CVE-2021-38604, peut être exploité pour provoquer une erreur de segmentation, provoquant le plantage d’une application.
« Gardez à l’esprit que la glibc fournit les principales primitives du système et est liée à la plupart, sinon à la totalité, des autres Applications Linux, y compris d’autres compilateurs et interprètes de langage. C’est le deuxième composant le plus important d’un système après le noyau lui-même », a écrit CloudLinux dans un article de blog.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
Selon l’analyse de Popov, la vulnérabilité a été introduite ironiquement dans le correctif conçu pour corriger la vulnérabilité glibc précédente, identifiée comme CVE-2021-33574.
Sommaire
Un correctif inégal
Reporting sur l’évolution, ZDNet affirme que le premier numéro de la glibc n’était pas particulièrement mauvais. En fait, un Ingénieur Red Hat expliqué le bogue n’était pas facilement exploitable et nécessitait que plusieurs conditions soient remplies avant qu’il puisse avoir un impact négatif sur une application.
Le bogue devait encore être corrigé, mais le correctif a introduit la vulnérabilité de déni de service qui aurait pu être déclenchée sans trop de problèmes.
CloudLinux a publié des informations sur la vulnérabilité et un correctif, qui a depuis été intégré à la glibc en amont. En outre, il a également soumis un nouveau test pour la suite de tests automatisés de la glibc afin d’éviter que le bogue ne se reproduise.
« Parfois, des changements dans des chemins de code non liés peuvent entraîner des changements de comportement ailleurs dans le code et le programmeur n’en est pas conscient. Ce test détectera cette situation », écrit CloudLinux.
Passant par ZDNet
