這個小的Linux錯誤修復造成了一個更嚴重的問題

在研究 GNU C 庫 (glibc) 中最近修復的漏洞的補丁時，網(wǎng)絡安全工程師發(fā)現(xiàn)了另一個問題，他們說這個問題影響了每個Linux 發(fā)行版。CloudLinux工程師 Nikita Popov 在上游 glic 中偶然發(fā)現(xiàn)了一個本質上可以歸類為拒絕服務漏洞的漏洞。Popov 認為該漏洞被追蹤為 CVE-2021-38604，可被利用來導致分段錯誤，從而導致應用程序崩潰。

“請記住，glibc 提供了主要的系統(tǒng)原語，并與大多數(shù)(如果不是全部)其他Linux 應用程序相關聯(lián)，包括其他語言編譯器和解釋器。它是系統(tǒng)中僅次于內(nèi)核本身的第二個最重要的組件，” CloudLinux在一篇博客文章中寫道。

TECHRADAR 需要您!

我們正在研究我們的讀者如何將 VPN 與 Netflix 等流媒體網(wǎng)站結合使用，以便我們改進內(nèi)容并提供更好的建議。此調查不會占用您超過 60 秒的時間，如果您能與我們分享您的經(jīng)驗，我們將不勝感激。

根據(jù) Popov 的分析，具有諷刺意味的是，該漏洞是在旨在修復早期 glibc 漏洞(編號為 CVE-2021-33574)的補丁中引入的。

ZDNet在報告開發(fā)時聲稱第一個 glibc 問題并不是特別糟糕。事實上，紅帽工程師解釋說，該漏洞不容易被利用，需要滿足幾個條件才能對任何應用程序產(chǎn)生負面影響。

該錯誤仍然需要修復，但該補丁引入了拒絕服務漏洞，據(jù)報道可以輕松觸發(fā)該漏洞。

CloudLinux 發(fā)布了有關該漏洞和修復的信息，此后已將其引入上游 glibc。此外，它還為 glibc 的自動化測試套件提交了一個新測試，以防止該錯誤再次出現(xiàn)。

“有時，不相關代碼路徑的變化會導致代碼中其他地方的行為發(fā)生變化，而程序員卻沒有意識到這一點。該測試將捕捉到這種情況，”CloudLinux 寫道。