微软本周发布了CBL Mariner 2.0.20230924,作为其内部Linux发行版的最新版本。此次发布背后的驱动力是在最近的GCC安全漏洞影响Arm 64位构建的软件后,推出重建的AArch64包。
CVE-2023-4039于9月中旬因GCC
-fstack保护器
在针对AArch64时打开漏洞的功能。CVE-2023-4039允许攻击者利用动态大小的本地变量中的现有缓冲区溢出进行攻击,而不会被检测到。
“针对AArch64的基于GCC的工具链中的-fstack protector功能出现故障,使攻击者能够在未检测到的情况下利用应用程序中动态大小的本地变量中现有的缓冲区溢出进行攻击。此堆栈保护器故障仅适用于C99风格的动态大小本地变量或使用alloca()创建的本地变量。堆栈保护器按静态大小的局部变量的预期操作。堆栈保护器检测到溢出时的默认行为是终止应用程序,从而导致可控的可用性损失。攻击者可以在不触发堆栈保护程序的情况下利用缓冲区溢出进行攻击,可能会更改程序流控制,导致不受控制的可用性损失,或者进一步影响机密性或完整性。“
那些在几周前首次亮相时没有听说过GCC AArch64漏洞的人可以通过
NIST.gov
。
本周的CBL Mariner更新是在微软发现他们的几个但不是所有带有本地代码的AArch64软件包受到影响之后发布的。微软还鼓励他们的客户使用GCC 11.2.0-6或更新版本重新编译他们的AArch64软件。由于CBL Mariner不允许按体系结构进行版本控制,x86_64包也进行了重建,但没有受到影响。
由于其他CVE,更新后的Microsoft Linux发行版还进行了许多其他软件包更新,包括Wireshark的27个软件包、Linux 5.15 LTS内核的一些问题,以及CMake、libssh2、Node.js、xterm和其他软件包的修复。
有关更新的Microsoft CBL Mariner 2.0版本的更多详细信息,请访问
GitHub
.