Hoppa yfir valmynd

Alvarlegur veikleiki í GNU C Library og Juniper öryggisuppfærsla

05. feb. 2024

Qualys birti tilkynningu vegna alvarlegs veikleika í GNU C Library (glibc). Búið er að staðfesta að veikleikinn hefur áhrif á Debian, Ubuntu og Fedora en talið er þetta nái til enn fleiri Linux útgáfa. Einnig hefur Juniper gefið út öryggisuppfærslu sem nær til fjölda veikleika sem  Juniper Secure Analytics (JSA) er háð [1]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.  

GNU C Library (glibc)

Veikleikinn CVE-2023-6246 með CVSSv3 veikleikastig upp á 8.2 er galli sem leyfir yfirflæði í hrúgubundnu biðminni (e. heap-based buffer overflow). Misnotkun á veikleikanum getur leitt til þess að hugbúnaðurinn hrynji (e. application crach) eða hækkun á réttindum (e. privilege escalation) [2].
Veikleikinn er ekki til staðar í öllum útgáfum stýrikerfanna sem nota glibc. Frekari upplýsingar er að finna á vefsíðum stýrikerfanna: Debian [3], Ubuntu [4] og Fedora [5,6]

Juniper Secure Analytics

Alvarlegasti veikleikinn CVE-2023-37920 með CVSSv3 veikleikastig upp á 9.8 er galli í Certifi sem er notað af JSA m.a. við sannprófanir á SSL skírteinum.
Nánari upplýsingar um veikleikana ásamt uppfærslu má finna á heimasíðu Juniper [1].

Tilvísanir:

[1] https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-JSA-Series-Multiple-vulnerabilities-resolved-in-JSA-Applications?language=en_US
[2] https://blog.qualys.com/vulnerabilities-threat-research/2024/01/30/qualys-tru-discovers-important-vulnerabilities-in-gnu-c-librarys-syslog
[3] https://security-tracker.debian.org/tracker/CVE-2023-6246
[4] https://ubuntu.com/security/CVE-2023-6246
[5] https://bodhi.fedoraproject.org/updates/FEDORA-2024-07597a0fb3
[6] https://bodhi.fedoraproject.org/updates/FEDORA-2024-aec80d6e8a