A Microsoft lançou o CBL-Mariner 2.0.20230924 esta semana como a versão mais recente de sua distribuição Linux interna. A força motriz por trás deste lançamento é lançar pacotes AArch64 reconstruídos após a recente vulnerabilidade de segurança do GCC que afetou o software construído em 64 bits do Arm.
O CVE-2023-4039 foi tornado público em meados de setembro por meio do recurso -fstack-protector do GCC, abrindo uma vulnerabilidade ao atingir o AArch64. CVE-2023-4039 permite que um invasor explore um buffer overflow existente em variáveis locais de tamanho dinâmico para serem exploradas sem ser detectado.
"Uma falha no recurso -fstack-protector em cadeias de ferramentas baseadas em GCC direcionadas ao AArch64 permite que um invasor explore um buffer overflow existente em variáveis locais de tamanho dinâmico em seu aplicativo sem que isso seja detectado. Essa falha do protetor de pilha se aplica apenas ao C99 -style variáveis locais de tamanho dinâmico ou aquelas criadas usando alloca(). O protetor de pilha opera conforme pretendido para variáveis locais de tamanho estaticamente.
O comportamento padrão quando o protetor de pilha detecta um estouro é encerrar seu aplicativo, resultando em perda controlada de disponibilidade. Um invasor que pode explorar um buffer overflow sem acionar o protetor de pilha pode ser capaz de alterar o controle de fluxo do programa para causar uma perda descontrolada de disponibilidade ou ir além e afetar a confidencialidade ou integridade."
A atualização do CBL-Mariner desta semana veio depois que a Microsoft descobriu que vários, mas nem todos, seus pacotes AArch64 com código nativo foram afetados. A Microsoft também está incentivando seus clientes a recompilar seu software AArch64 com GCC 11.2.0-6 ou mais recente. Devido ao CBL-Mariner não permitir o versionamento por arquitetura, os pacotes x86_64 também foram reconstruídos, mas não afetados.
A distribuição atualizada do Microsoft Linux também tem uma série de outras atualizações de pacotes devido a outros CVEs, incluindo 27 para Wireshark, alguns problemas com seu kernel Linux 5.15 LTS e também correções para o CMake, libssh2, Node.js, xterm e outros. pacotes.
Mais detalhes sobre a versão atualizada do Microsoft CBL-Mariner 2.0 podem ser encontrados via GitHub.
Até a próxima !!
Nenhum comentário:
Postar um comentário