GNU C Library高危漏洞影响大量应用和设备

研究人员在一个广泛使用的开源核心基础库中发现了一 个潜在具有灾难性的漏洞,可能导致数以千计的应用和设备易被攻击和被攻击者完全控制。漏洞是在2008年引入到GNU C 函数库(GNU C Library,简称glibc)中的,与 getaddrinfo() 函数有关,影响glibc 2.9之后的所有版本,广泛使用的工具如secure shell、sudo和curl都受影响。

glibc是一套开源的C运行时库,被数以千计的应用使用,包含在大部分Linux发行版中,也被路由器等设备使用。getaddrinfo() 执行DNS域名查询任务,它包含了一个缓冲溢出bug,允许攻击者远程执行恶意代码。漏洞可以通过设备或应用查询攻击者控制的域名或DNS服务器时被利用。glibc维护者已经释出了修正。但很多包含该漏洞的应用或设备未必能及时打上补丁。

本文转自d1net(转载)

时间: 2024-09-20 08:30:47

GNU C Library高危漏洞影响大量应用和设备的相关文章

高通安全执行环境高危漏洞影响全球六成安卓设备

本文讲的是高通安全执行环境高危漏洞影响全球六成安卓设备,高通安全执行环境 (Qualcomm Secure Execution Environment, QSEE) 中的一个关键提权漏洞 (Elevation of Privilege, EOP) 仍影响全世界大约六成的安卓设备.而该漏洞早些时候曾得到过一次修复. 问题的根源在于 Widevine QSEE TrustZone 应用中的一个关键提权漏洞CVE-2015-6639,而该漏洞在今年一月已经被谷歌发布的包含12个安卓漏洞补丁的补丁包修复

WinRAR 高危漏洞影响五亿用户

流行解压缩软件WinRAR的最新版本(WinRAR SFX v5.21)被发现存在一个允许远程执行代码的高危漏洞,影响多达五亿用户.问题存在于"自解压窗口显示文本"中的"文本和图标"功能,远程攻击者能生成 带有恶意载荷的压缩文档去执行系统特定的代码,入侵系统不需要特权账号或用户交互.Vulnerability Lab的安全研究人员公布了概念验证攻击代码. 文章转载自 开源中国社区[https://www.oschina.net]

360指腾讯财付通有高危漏洞 影响用户至少千万

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 360称腾讯受影响用户至少千万 腾讯暂未回应 昨日,360安全中心发布重大安全警报称,腾讯公司旗下财付通支付产品出现高危漏洞,导致其数字签名证书被黑客利用制作木马病毒,而绝大多数杀毒软件无法防范.该漏洞将影响所有QQ彩钻.腾讯拍拍以及接入财付通支付平台的购物与充值网站的用户,用户量保守估计也在千万级水平,感染量约为1.2万台电脑. 本报讯 (

Discuz!曝高危漏洞 影响7.2及以下版本

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 7月2日消息,国内流行的建站系统Discuz!今天曝出高危漏洞.利用该漏洞,黑客可轻易获得网站控制权(远程直接getshell),影响7.2及以下版本.目前,360网络攻防实验室已验证该漏洞存在,并通报Discuz!官方进行修复.在补丁发布前,广大网站可免费使用360网站卫士防范此漏洞威胁. 图:利用漏洞,黑客可远程直接getshell Di

Swagger 高危漏洞影响 Java、PHP 和 Ruby等语言

广泛使用的Swagger规格(今 年初重命名为OpenAPI)发现了高危漏洞,潜在影响到了Java.PHP.NodeJS和 Ruby等流行语言开发的应用.该漏洞允许攻击者远程执行代码,存在于Swagger Code Generator中,属于参数注入漏洞,允许攻击者在Swagger JSON文件中嵌入代码,使用Java.PHP.NodeJS和 Ruby等语言开发的Web应用如果整合了 Swagger API会受到影响.Rapid7研究人员公开了漏洞的技术细节和补丁,该漏洞早在4月就在私下披露过了

高通高危漏洞影响大量手机

安全公司FireEye的研究人员称,过去五年,很多Android手机都存在一个漏洞, 会导致用户的短信.电话记录和其它私人敏感数据被窥探.漏洞影响Android v4.3及早期版本,允许低权限应用访问它们本来被限制访问的敏感数据.漏洞编号为CVE-2016-2060,是移动芯片巨头高通公司引入到 Android系统中的,它为系统服务network_manager(netd)释出了一组编程接口.研究人员称,CVE-2016-2060至少从 2011年就存在于系统中,影响全世界数以百计的设备型号.G

潜伏3年的Linux漏洞 影响66%的Android设备

据Wired报道,以色列安全公司Perception Point在Linux内核中发现了一个0day漏洞,会影响数千万Linux电脑和服务器,以及66%的Android手机和平板.而且漏洞已经存在了三年. Perception表示,漏洞存在于Linux密钥环(keyring),应用可于此存储认证和加密密钥,安全数据以及其它敏感信息.它会让黑客伪装成本地用户,获得root权限,从而安装恶意程序,删除文件,读取敏感信息.而且黑客获得权限的方式很简单,只需要一个钓鱼链接即可. 谁受到影响? 根据现在的

iOS也不安全?高危漏洞威胁近半果粉!

前言 iOS系统向来以其良好的安全性深得广大用户的信赖,特别是其安全升级速度与安卓相比有明显优势.但是根据百度安全实验室对上亿台国内iOS设备系统版本统计发现,iOS 10.3.3于7.19日发布至今已有50天,仅有54%的用户升级到了最新的iOS 10.3.3系统,剩余的近半数国内iOS设备依然停留在受高危漏洞影响的旧版系统.即使最新的iPhone7系列机型,也有近32%的设备没有及时升级.而这些旧版本的多个高危漏洞的利用方法已经被公开,未升级用户面临着严峻的安全风险.我们呼吁iOS用户尽快升

NTP DoS高危漏洞 CVE-2016-9312 绿盟科技发布威胁通告 中国受影响设备过万

2016.11.21日,NTF's Network Time Protocol (NTP) 项目发布了 ntp-4.2.8p9 ,这是 ntp-4.2.8p8 发布以来的第一次更新.此次更新发布了10个漏洞,其中1个高危,具体信息如下: 1 个高危漏洞,仅影响Windows 2 MEDIUM severity vulnerabilities 2 MEDIUM/LOW severity vulnerabilities 5 LOW severity vulnerabilities 28 non-se