Glibc 2.35 wuxuu la yimid horumarin, hagaajin kutaan iyo wax ka badan

 

Kadib lix bilood oo horumar ah sii deynta nooca cusub ee Glibc 2.35 ayaa lagu dhawaaqay taas oo waxaa ku jira hagaajinta 66 horumariye iyo hagaajinta la hirgeliyay waxaan ka heli karnaa in taageerada "C.UTF-8" ee degaanka lagu daray, oo ay ku jiraan ururinta dhammaan codsiyada Unicode, laakiin waxay ku xaddidan tahay isticmaalka noocyada ASCII ee fnmatch, regexec iyo regcomp si loo badbaadiyo. meel bannaan.

Meeshu waa ku dhawaad ​​400 KB, kaas oo 346 KB ay tahay xogta LC_CTYPE ee Unicode, waana in si gooni ah loo rakibaa (aan lagu dhisin Glibc). Xogta codaynta, macluumaadka nooca jilaha, iyo jaantusyada qoraalka waa la cusboonaysiiyay si ay u taageeraan qeexida Unicode 14.0.0.

Isbeddel kale oo muuqda ayaa ah kaas Y Hirgeli hawlo iyo macros kuwaas oo natiijada ku soo koobaya nooc cidhiidhi ah, Marka lagu daro fulinta hawlaha iyo macros si loo helo ugu yaraan iyo ugu badnaan tirada dhibcaha sabbaynaya ee noocyada sabbaynaya, labanlaab dheer, _FloatN iyo _FloatNx, oo lagu sifeeyay qeexida IEEE 754-2019.

hawlaha exp10, macros u dhigma ayaa lagu daraa faylka madaxa, kuwaas oo aan ku xidhnayn noocyo gaar ah, oo lagu daray _PRINTF_NAN_LEN_MAX macro ayaa lagu daray , lagu soo jeediyay qabyo qoraalka heerka ISO C2X.

Nidaamka isku xidhka firfircooni wuxuu fuliyaa algorithm kala soocida cusub DSO iyadoo adeegsanaysa raadinta qoto dheer (DFS) si wax looga qabto arrimaha waxqabadka marka la maareynayo ku-tiirsanaanta loop. Si aad u dooratid nooca Algorithm ee DSO, glibc.rtld.dynamic_sort parameter ayaa la soo jeediyay, kaas oo loo dejin karo "1" si uu ugu noqdo algorithmadkii hore.

Ka sokow taageero lagu daray hawl cusub '__memcmpeq' ilaa ABI, kaas oo ay isticmaalaan compilers si ay u wanaajiyaan isticmaalka 'memcmp' marka qiimaha soo celinta shaqadan loo isticmaalo kaliya si loo hubiyo heerka dhamaystirka hawlgalka.

The taageerada diiwaangelinta dunta tooska ah iyadoo la adeegsanayo nidaamka rseq (taxane dib loo bilaabi karo) wicitaanka nidaamka la bixiyay tan iyo kernel Linux 4.18. Nidaamka rseq wac ogolaanaya in la abaabulo fulinta joogtada ah ee koox tilmaamaha kaas oo aan la kala joojin oo natiijada ka soo baxa bayaanka ugu dambeeya ee kooxda. Asal ahaan, waxay bixisaa tas-hiilaad loogu talagalay fulinta fulinta atomiga ee aadka u degdega ah, kaas oo, haddii dun kale go'do, la nadiifiyo oo dib loo tijaabiyo.

Dhanka kale, waxay bixisaa Isku-dubbaridka dhammaan faylasha la fulin karo Barnaamijyada ku dhex jira iyo qolka tijaabada ee PIE (meel-madax-bannaan ee la fulin karo).

Si loo joojiyo hab-dhaqankan, ikhtiyaarka "-disable-default-pie" ayaa la bixiyay, oo lagu daray Linux, ayaa ku daray goobta glibc.malloc.hugetlb si loo beddelo hirgelinta malloc si loo isticmaalo nidaamka waallida wacitaanka calanka MADV_HUGEPAGE ee mmap iyo sbrk, ama si toos ah u isticmaal boggaga xusuusta waaweyn adoo qeexaya MAP_HUGETLB calanka ee wicitaanada mmap.

Xaaladda koowaad, kor u qaadista waxqabadka waxaa lagu gaari karaa iyadoo la adeegsanayo bogag waaweyn oo hufan oo qaab waalan ah, kiiska labaadna, waxaad isticmaali kartaa bogag waaweyn oo nidaamsan (Bogagga Weyn).

Waa in sidoo kale la ogaadaa in dayacanka qaar lagu hagaajiyay noocan cusub:

  • CVE-2022-23218, CVE-2022-23219: Bakhaarka buuxdhaafay ee svcunix_create iyo clnt_create hawlaha ay sababto koobiyaynta waxa ku jira xudunta faylalka magaceedu dulsaarada xidhmada iyada oo aan la hubin cabbirka xogta la koobiyay. Codsiyada la dhisay iyada oo aan la isku ilaalin oo la isticmaalayo nidaamka "unix", nuglaanta waxay u horseedi kartaa fulin kood xaasidnimo ah marka la farsameynayo magacyada faylalka aadka u dheer.
  • XAFLAD-2021-3998: nuglaansho dhab ah() shaqada oo ay sababtay soo celinta qiime khaldan xaaladaha qaarkood oo ay ku jiraan xogta hadhaaga ah ee aan nadiifka ahayn ee xirmada. Barnaamijka fusermount SUID-root, nuglaanta waxaa loo isticmaali karaa in laga helo macluumaadka xasaasiga ah ee xasuusta habka, tusaale ahaan, si loo helo macluumaadka tilmaamayaasha.
  • XAFLAD-2021-3999: hal byte baffer ayaa buux dhaafiyay shaqada getcwd() Dhibka waxaa keenay bug soo jirtay ilaa 1995. Si aad u wacdo qulqulka, meel gaar ah oo ku taal buurta magaca, kaliya wac chdir() tusaha "/".

Finalmente Haddii aad xiisaynayso inaad waxbadan ka ogaato, waxaad ka eegi kartaa faahfaahinta xiriirka soo socda.


Nuxurka maqaalka wuxuu u hogaansamayaa mabaadi'deena anshaxa tifaftirka. Si aad u soo sheegto khalad guji Halkan.

Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa.

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.