阿里云漏洞库

漏洞描述

如果一个80位长的双函数的输入包含一个非规范位模式，那么2.32之前的GNU C库(也称为glibc或libc6)可能会在范围缩减期间溢出堆栈上的缓冲区，这在向x86目标上的sinl传递一个0x5d41414141414141410000值时可以看到。这与sysdeps/ieee754/ldbl-96/e_rem_pio2l.c有关。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00033.html
https://lists.debian.org/debian-lts-announce/2022/10/msg00021.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202006-04
https://security.netapp.com/advisory/ntap-20200327-0003/
https://sourceware.org/bugzilla/show_bug.cgi?id=25487
https://sourceware.org/git/gitweb.cgi?p=glibc.git%3Ba=commit%3Bh=9333498794cd...
https://usn.ubuntu.com/4416-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gnu	glibc	*		Up to (excluding) 2.32.0
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	nscd	*		Up to (excluding) 2.17-322.1.al7
	运行在以下环境
	系统	alibaba_cloud_linux_3	nscd	*		Up to (excluding) 2.32-1.1.al8
	运行在以下环境
	系统	amazon_2	glibc	*		Up to (excluding) 2.26-37.amzn2
	运行在以下环境
	系统	amazon_AMI	glibc	*		Up to (excluding) 2.17-322.181.amzn1
	运行在以下环境
	系统	centos_7	nscd	*		Up to (excluding) 2.17-322.el7_9
	运行在以下环境
	系统	debian_10	glibc	*		Up to (excluding) 2.28-10+deb10u2
	运行在以下环境
	系统	debian_11	glibc	*		Up to (excluding) 2.30-1
	运行在以下环境
	系统	debian_12	glibc	*		Up to (excluding) 2.30-1
	运行在以下环境
	系统	fedora_30	glibc	*		Up to (excluding) 2.29-29.fc30
	运行在以下环境
	系统	fedora_31	glibc	*		Up to (excluding) 2.30-11.fc31
	运行在以下环境
	系统	fedora_32	glibc	*		Up to (excluding) 2.31-2.fc32
	运行在以下环境
	系统	kylinos_aarch64_V10	nscd	*		Up to (excluding) 2.17-323.el7_9.ns7.01
	运行在以下环境
	系统	kylinos_x86_64_V10	nscd	*		Up to (excluding) 2.17-323.el7_9.ns7.01
	运行在以下环境
	系统	opensuse_Leap_15.1	nscd	*		Up to (excluding) 2.26-lp151.19.3.1
	运行在以下环境
	系统	oracle_7	nscd	*		Up to (excluding) 2.17-322.0.1.el7_9
	运行在以下环境
	系统	oracle_8	nscd	*		Up to (excluding) 2.28-127.0.1.el8
	运行在以下环境
	系统	redhat_7	nscd	*		Up to (excluding) 2.17-322.el7_9
	运行在以下环境
	系统	redhat_8	nscd	*		Up to (excluding) 2.28-127.el8
	运行在以下环境
	系统	suse_12_SP4	nscd	*		Up to (excluding) 2.22-100.21.5
	运行在以下环境
	系统	suse_12_SP5	nscd	*		Up to (excluding) 2.22-100.21.5
	运行在以下环境
	系统	ubuntu_16.04	glibc	*		Up to (excluding) 2.23-0ubuntu11.2
	运行在以下环境
	系统	ubuntu_18.04	glibc	*		Up to (excluding) 2.27-3ubuntu1.2

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当
CWE-787	跨界内存写

低危 在cosl、sinl、sincosl和tanl函数中精心输入的堆栈损坏

漏洞描述

解决建议

参考链接

受影响软件情况

低危在cosl、sinl、sincosl和tanl函数中精心输入的堆栈损坏