В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547

Специалисты по ИТ-безопасности из компании Google сообщили в своем блоге, что на днях была «случайно» обнаружена критическая уязвимость в стандартной библиотеке языка Си проекта GNU — glibc.

Заболевший пингвин / Иллюстрация с сайта Aerandria.Net

Уязвимость, получившая номер CVE-2015-7547, была зафиксирована при работе неназванного инженера над запросом о падениях SSH-клиента. Исследование возможностей, открываемых этой проблемой, привело к созданию полноценно работающего эксплоита, позволяющего удалённо выполнять произвольный код. К удивлению экспертов выяснилось, что разработчиков библиотеки glibc, в которой и содержится сама уязвимость (переполнение при вызове функции getaddrinfo), уведомляли об этом ещё в июле 2015 года.

Одновременно с Google этой проблемой занимались специалисты из Red Hat. Совместная работа инженеров принесла плоды в виде патча. Производители популярных GNU/Linux-дистрибутивов, подверженных уязвимости CVE-2015-7547, уже опубликовали обновления. Например, пользователи Ubuntu получили автоматическое обновление пакетов libc минувшей ночью.

r1j1k по материалам Googleonlinesecurity.Blogspot.Co.Uk.