PT-2022-2036 · Glibc+10 · Glibc+10

Siddhesh Poyarekar

·

Publicado

2020-12-17

·

Atualizado

2024-06-15

·

CVE-2021-3999

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
glibc (versões afetadas não especificadas)
Descrição
Foi identificada uma falha na glibc, especificamente um estouro e subfluxo de buffer “off-by-one” na função getcwd(), o que pode levar à corrupção de memória quando o tamanho do buffer é exatamente 1. Um invasor local capaz de controlar o buffer de entrada e o tamanho passado para getcwd() em um programa setuid poderia usar essa falha para, potencialmente, executar código arbitrário e escalar seus privilégios no sistema.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-193

Identificadores relacionados

ALSA-2022:0896
ALT-PU-2020-3524
ALT-PU-2022-1201
BDU:2022-01635
CESA-2022_0896
CVE-2021-3999
DLA-3152-1
MGASA-2022-0052
OPENSUSE-SU-2022:0330-1
OPENSUSE-SU-2022_0330-1
OPENSUSE-SU-2024:11850-1
RHSA-2022:0896
RHSA-2022_0896
RLSA-2022:0896
SUSE-SU-2022:0330-1
SUSE-SU-2022:0441-1
SUSE-SU-2022:0832-1
SUSE-SU-2022:0909-1
SUSE-SU-2022:14923-1
SUSE-SU-2022_0330-1
SUSE-SU-2022_0441-1
SUSE-SU-2022_0909-1
SUSE-SU-2022_14923-1
USN-5310-1
USN-5310-2
USN-6762-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Glibc