這個小的Linux錯誤修復(fù)造成了一個更嚴(yán)重的問題

在研究 GNU C 庫 (glibc) 中最近修復(fù)的漏洞的補(bǔ)丁時，網(wǎng)絡(luò)安全工程師發(fā)現(xiàn)了另一個問題，他們說這個問題影響了每個Linux 發(fā)行版。CloudLinux工程師 Nikita Popov 在上游 glic 中偶然發(fā)現(xiàn)了一個本質(zhì)上可以歸類為拒絕服務(wù)漏洞的漏洞。Popov 認(rèn)為該漏洞被追蹤為 CVE-2021-38604，可被利用來導(dǎo)致分段錯誤，從而導(dǎo)致應(yīng)用程序崩潰。

“請記住，glibc 提供了主要的系統(tǒng)原語，并與大多數(shù)(如果不是全部)其他Linux 應(yīng)用程序相關(guān)聯(lián)，包括其他語言編譯器和解釋器。它是系統(tǒng)中僅次于內(nèi)核本身的第二個最重要的組件，” CloudLinux在一篇博客文章中寫道。

TECHRADAR 需要您!

我們正在研究我們的讀者如何將 VPN 與 Netflix 等流媒體網(wǎng)站結(jié)合使用，以便我們改進(jìn)內(nèi)容并提供更好的建議。此調(diào)查不會占用您超過 60 秒的時間，如果您能與我們分享您的經(jīng)驗(yàn)，我們將不勝感激。

根據(jù) Popov 的分析，具有諷刺意味的是，該漏洞是在旨在修復(fù)早期 glibc 漏洞(編號為 CVE-2021-33574)的補(bǔ)丁中引入的。

ZDNet在報告開發(fā)時聲稱第一個 glibc 問題并不是特別糟糕。事實(shí)上，紅帽工程師解釋說，該漏洞不容易被利用，需要滿足幾個條件才能對任何應(yīng)用程序產(chǎn)生負(fù)面影響。

該錯誤仍然需要修復(fù)，但該補(bǔ)丁引入了拒絕服務(wù)漏洞，據(jù)報道可以輕松觸發(fā)該漏洞。

CloudLinux 發(fā)布了有關(guān)該漏洞和修復(fù)的信息，此后已將其引入上游 glibc。此外，它還為 glibc 的自動化測試套件提交了一個新測試，以防止該錯誤再次出現(xiàn)。

“有時，不相關(guān)代碼路徑的變化會導(dǎo)致代碼中其他地方的行為發(fā)生變化，而程序員卻沒有意識到這一點(diǎn)。該測試將捕捉到這種情況，”CloudLinux 寫道。