研究人員在一個廣泛使用的開源核心基礎庫中發現了一 個潛在具有災難性的漏洞,可能導致數以千計的應用和設備易被攻擊和被攻擊者完全控制。漏洞是在2008年引入到GNU C 函數庫(GNU C Library,簡稱glibc)中的,與 getaddrinfo() 函數有關,影響glibc 2.9之后的所有版本,廣泛使用的工具如secure shell、sudo和curl都受影響。
glibc是一套開源的C運行時庫,被數以千計的應用使用,包含在大部分Linux發行版中,也被路由器等設備使用。getaddrinfo() 執行DNS域名查詢任務,它包含了一個緩沖溢出bug,允許攻擊者遠程執行惡意代碼。漏洞可以通過設備或應用查詢攻擊者控制的域名或DNS服務器時被利用。glibc維護者已經釋出了修正。但很多包含該漏洞的應用或設備未必能及時打上補丁。
京公網安備 11010502049343號