[TLP:CLEAR] GNU glibc opravuje 5 zraniteľností
GNU verziou 2.40 opravuje 5 zraniteľností v produkte glibc, pričom 4 z nich postihujú konkrétne nscd (Name Service Cache Daemon) [1]. Vydania OS a ich opravené verzie: Debian [2][3]: bullseye - 2.31-13+deb11u10 bookworm - 2.36-9+deb12u7 buster - 2.28-10+deb10u4 Ubuntu [4][5][6][7][8]: bionic - 2.27-3ubuntu1.6+esm2 focal - 2.31-0ubuntu9.15 jammy - 2.35-0ubuntu3.7 mantic - 2.38-1ubuntu6.2 noble - 2.39-0ubuntu8.1 Gentoo [9]: všetky architektúry - 2.38-r13 Redhat: viac informácií na [10] Slackware: viac informácií na [11]
Neautentizovanému vzdialenému útočníkovi je v nscd umožnené zapríčiniť pretečenie zásobníka, čo by mohlo spôsobiť poškodenie dát alebo pád aplikácie [12].
Zraniteľnosť sa nachádza v produkte glibc vo verziách >=2.15 AND <2.40
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
Viac informácií:
- CVE-2024-33602 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-466: Return of Pointer Value Outside of Expected Range at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 5. 2024.
Neautentizovanému vzdialenému útočníkovi je v nscd umožnené zapríčiniť chybnú alokáciu pamäťe, čo by spôsobilo pád aplikácie [13].
Zraniteľnosť sa nachádza v produkte glibc vo verziách >=2.15 AND <2.40
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-33601 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-617: Reachable Assertion at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 5. 2024.
Neautentizovanému vzdialenému útočníkovi je v nscd umožnené zapríčiniť dereferenciu Null ukazovateľa, čo môže spôsobiť pád aplikácie [14].
Zraniteľnosť sa nachádza v produkte glibc vo verziách >=2.15 AND <2.40
Viac informácií:
- CVE-2024-33600 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 5. 2024.
Neautentizovanému lokálnemu útočníkovi je v nscd umožnené zapríčiniť pretečenie zásobníka, čo môže spôsobiť poškodenie dát alebo pád aplikácie [15].
Zraniteľnosť sa nachádza v produkte glibc vo verziách >=2.15 AND <2.40
Viac informácií:
- CVE-2024-33599 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 5. 2024.
Neauntetizovanému lokálnemu útočníkovi je umožnené zapríčiniť pretečenie zásobníka, čo môže spôsobiť poškodenie dát alebo pád aplikácie [16].
Zraniteľnosť sa nachádza v produkte glibc vo verziách >=2.39 AND <2.40
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
Viac informácií:
- CVE-2024-2961 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 17. 4. 2024.
Odkazy
- [1] https://lists.gnu.org/archive/html/info-gnu/2024-07/msg00013.html
- [2] https://security-tracker.debian.org/tracker/DSA-5678-1
- [3] https://security-tracker.debian.org/tracker/DLA-3850-1
- [4] https://ubuntu.com/security/CVE-2024-2961
- [5] https://ubuntu.com/security/CVE-2024-33599
- [6] https://ubuntu.com/security/CVE-2024-33600
- [7] https://ubuntu.com/security/CVE-2024-33601
- [8] https://ubuntu.com/security/CVE-2024-33602
- [9] https://security.gentoo.org/glsa/202405-17
- [10] https://access.redhat.com/errata/RHSA-2024:3344
- [11] http://www.slackware.com/security/viewer.php?l=slackware-security&y=2024&m=slackware-security.564783
- [12] https://nvd.nist.gov/vuln/detail/CVE-2024-33602
- [13] https://nvd.nist.gov/vuln/detail/CVE-2024-33601
- [14] https://nvd.nist.gov/vuln/detail/CVE-2024-33600
- [15] https://nvd.nist.gov/vuln/detail/CVE-2024-33599
- [16] https://nvd.nist.gov/vuln/detail/CVE-2024-2961
Publikoval Martin Krajči dňa 24. 7. 2024.
