PT-2021-7880 · Uclibc-Ng+2 · Uclibc-Ng+2
Haya Shulman
+1
·
Publicado
2021-11-10
·
Atualizado
2021-11-15
·
CVE-2021-43523
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do uClibc anteriores à 1.0.39
Versões do uClibc-ng anteriores à 1.0.39
Descrição
O problema está relacionado à validação insuficiente de entradas nas bibliotecas uClibc e uClibc-ng, o que pode ser explorado por um invasor remoto para executar código arbitrário. O problema reside no tratamento incorreto de caracteres especiais em nomes de domínio retornados por servidores DNS por meio de funções como
gethostbyname, getaddrinfo, gethostbyaddr e getnameinfo. Isso pode levar à geração de nomes de host incorretos, resultando em sequestro de domínio, ou à injeção de dados maliciosos em aplicativos, potencialmente causando execução remota de código, cross-site scripting (XSS), falhas no aplicativo e outros problemas.Recomendações
Para versões do uClibc anteriores à 1.0.39, atualize para a versão 1.0.39 ou posterior para resolver o problema.
Para versões do uClibc-ng anteriores à 1.0.39, atualize para a versão 1.0.39 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso das funções
gethostbyname, getaddrinfo, gethostbyaddr e getnameinfo até que um patch esteja disponível.Exploit
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Uclibc
Uclibc-Ng