PT-2022-4602 · Glibc · Glibc
Adhemerval Zanella
·
Publicado
2022-08-31
·
Atualizado
2024-06-15
·
CVE-2022-39046
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.36 a 2.37 da glibc
Descrição
O problema está relacionado à função syslog na biblioteca glibc, que pode ler memória não inicializada da pilha (heap) quando recebe uma string de entrada manipulada com mais de 1024 bytes. Isso pode potencialmente revelar uma parte do conteúdo da pilha. O problema está associado a um estouro de buffer baseado na pilha.
Recomendações
Para as versões 2.36 a 2.37 da glibc, considere desativar a função syslog até que um patch esteja disponível.
Restrinja o acesso à função syslog para minimizar o risco de exploração.
Evite usar a função syslog com strings de entrada maiores que 1024 bytes até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Access of Uninitialized Pointer
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Glibc