GNU C Library高危漏洞影響大量應用和設備

研究人員在一個廣泛使用的開源核心基礎庫中發現了一個潛在具有災難性的漏洞，可能導致數以千計的應用和設備易被攻擊和被攻擊者完全控制。

漏洞是在 2008 年引入到 GNU C 函數庫（GNU C Library，簡稱 glibc）中的，與 getaddrinfo () 函數有關，影響 glibc 2.9 之后的所有版本，廣泛使用的工具如 secure shell、sudo 和 curl 都受影響。

glibc 是一套開源的C運行時庫，被數以千計的應用使用，包含在大部分 Linux 發行版中，也被路由器等設備使用。getaddrinfo () 執行 DNS 域名查詢任務，它包含了一個緩沖溢出 bug，允許攻擊者遠程執行惡意代碼。漏洞可以通過設備或應用查詢攻擊者控制的域名或 DNS 服務器時被利用。glibc 維護者已經釋出了修正。但很多包含該漏洞的應用或設備未必能及時打上補丁。

來自: Solidot