FERRAMENTAS LINUX: O Microsoft CBL-Mariner 2.0.20230924 reconstrói os pacotes AArch64 devido a esse bug desagradável do GCC

segunda-feira, 2 de outubro de 2023

O Microsoft CBL-Mariner 2.0.20230924 reconstrói os pacotes AArch64 devido a esse bug desagradável do GCC

 



A Microsoft lançou o CBL-Mariner 2.0.20230924 esta semana como a versão mais recente de sua distribuição Linux interna. A força motriz por trás deste lançamento é lançar pacotes AArch64 reconstruídos após a recente vulnerabilidade de segurança do GCC que afetou o software construído em 64 bits do Arm.

O CVE-2023-4039 foi tornado público em meados de setembro por meio do recurso -fstack-protector do GCC, abrindo uma vulnerabilidade ao atingir o AArch64. CVE-2023-4039 permite que um invasor explore um buffer overflow existente em variáveis ​​locais de tamanho dinâmico para serem exploradas sem ser detectado.

"Uma falha no recurso -fstack-protector em cadeias de ferramentas baseadas em GCC direcionadas ao AArch64 permite que um invasor explore um buffer overflow existente em variáveis ​​locais de tamanho dinâmico em seu aplicativo sem que isso seja detectado. Essa falha do protetor de pilha se aplica apenas ao C99 -style variáveis ​​locais de tamanho dinâmico ou aquelas criadas usando alloca(). O protetor de pilha opera conforme pretendido para variáveis ​​locais de tamanho estaticamente.
O comportamento padrão quando o protetor de pilha detecta um estouro é encerrar seu aplicativo, resultando em perda controlada de disponibilidade. Um invasor que pode explorar um buffer overflow sem acionar o protetor de pilha pode ser capaz de alterar o controle de fluxo do programa para causar uma perda descontrolada de disponibilidade ou ir além e afetar a confidencialidade ou integridade."

A atualização do CBL-Mariner desta semana veio depois que a Microsoft descobriu que vários, mas nem todos, seus pacotes AArch64 com código nativo foram afetados. A Microsoft também está incentivando seus clientes a recompilar seu software AArch64 com GCC 11.2.0-6 ou mais recente. Devido ao CBL-Mariner não permitir o versionamento por arquitetura, os pacotes x86_64 também foram reconstruídos, mas não afetados.

A distribuição atualizada do Microsoft Linux também tem uma série de outras atualizações de pacotes devido a outros CVEs, incluindo 27 para Wireshark, alguns problemas com seu kernel Linux 5.15 LTS e também correções para o CMake, libssh2, Node.js, xterm e outros. pacotes.

Mais detalhes sobre a versão atualizada do Microsoft CBL-Mariner 2.0 podem ser encontrados via GitHub.





Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário