CVE-2021-43396

GNU C Library (também conhecida como glibc), versão 2.34

Intrusos remotos podem forçar a função iconv() a emitir um caractere ‘0’ espúrio por meio de dados ISO-2022-JP-3 manipulados, acompanhados de uma reinicialização do estado interno. Isso pode afetar a integridade dos dados em determinados casos de uso da função iconv(). O fornecedor afirma que o bug não pode ser acionado por meio de entrada do usuário e requer que o iconv seja chamado com um inbuf NULL, o que, para ocorrer involuntariamente, exigiria um bug separado no aplicativo.

Para a GNU C Library (também conhecida como glibc) versão 2.34, considere invocar o iconv() com um inbuf diferente de NULL para evitar a emissão de caracteres ‘0’ espúrios. Como solução temporária, considere restringir o uso de dados ISO-2022-JP-3 manipulados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.