Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Bollettino IT-CERT.180207.B01
Vulnerabilità in GNU C Library (glibc)

Gravità (CVSS) 6,3
Data prima emissione 7 febbraio 2018
Data ultima modifica -
Sistemi affetti Linux
glibc  GNU  

È stata scoperta una vulnerabilità in glibc che potrebbe consentire l’esecuzione di codice arbitrario da remoto. In particolare, la vulnerabilità è legata ad una condizione di tipo integer overflow nella funzione posix_memalign() che si verifica quando le funzioni interne memalign() e malloc() non riportano correttamente errori nell’allocazione della memoria.

Un attaccante potrebbe tentare di sfruttare questa vulnerabilità inviando dati opportunamente predisposti ad un sistema affetto. Lo sfruttamento di questa vulnerabilità potrebbe consentire all’attaccante di ottenere gli stessi privilegi dell’applicazione affetta. A seconda dei privilegi associati all’applicazione sfruttata, l’attaccante potrebbe essere in grado di installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi. Tentativi falliti di sfruttare questa vulnerabilità potrebbero portare al crash dell’applicazione con conseguente condizione di denial of service.

Bollettini correlati

Bollettino CERT-N 160218.01
Vulnerabilità DNS resolver in GNU C Library (glibc)

18 febbraio 2016

È stata scoperta una vulnerabilità in glibc che potrebbe consentire l’esecuzione di codice arbitrario da remoto. La vulnerabilità è legata ad una condizione di tipo stack-based buffer overflow nella funzione getaddrinfo().Leggi tutto

Bollettino CERT-N 160203.01
Vulnerabilità in GNU C Library (glibc)

3 febbraio 2016

È stata scoperta una vulnerabilità in glibc che potrebbe consentire l’esecuzione di codice arbitrario da remoto. La vulnerabilità è legata ad una condizione di tipo stack-based buffer overflow nella funzione catopen().Leggi tutto