Connectrix B-Series: GNU Glibc altis muistin vioittumiselle kekopuskurin ylivuodon avulla

Vioittuminen tapahtuu, kun assert() Toiminto epäonnistuu tietyissä olosuhteissa. 

Kekopuskurin ylivuotojen tiedetään vahingoittavan vakavasti ohjelman luottamuksellisuutta, eheyttä ja saatavuutta. Hyvitetyt tutkijat ovat kuitenkin osoittaneet palvelunestohyökkäyksen (DoS) vain segmentointivirheen avulla, ja toimittaja uskoo, että haavoittuvuus on suhteellisen vähäinen. Sitä voidaan hyödyntää vain mukautetulla sovelluksella setuid eikä tämä vaikuta mihinkään tunnettuihin ja oletusarvoisiin UNIX-ohjelmiin.

Tuotteet, joita asia koskee

• Brocade Fabric -käyttöjärjestelmäversiot 9.1.0–9.2.1b ja 9.2.2
• Brocade SANnav -peruskäyttöjärjestelmän (OVA-käyttöönotto) versiota 2.4.0a vanhemmat versiot
• Brocade ASCG -peruskäyttöjärjestelmän (OVA-käyttöönotto) versiota 3.3.0 vanhemmat versiot

Tämä ei vaikuta vahvistettuihin tuotteisiin.

• Brocade Fabric OS -versiot 9.0.0–9.0.1e1 - [VEX Justification: Vulnerable_code_not_present]
• Brocade Fabric OS -versiot ennen versiota 9.0 – [VEX Justification: Component_not_present]
• Tämä haavoittuvuus ei koske Brocade SANnav -vakiokäyttöönottoja – [VEX Justification: Vulnerable_code_cannot_be_contolled_by_adversary]
• Tämä haavoittuvuus ei koske Brocade ASCG -standardin käyttöönottoja – [VEX Justification: Vulnerable_code_cannot_be_contolled_by_adversary]

Ratkaisu

• Tietoturvapäivitys sisältyy Brocade Fabric OS 9.2.1c -versioon ja 9.2.2a-versioon
• Tietoturvapäivitys sisältyy Brocade SANnav -peruskäyttöjärjestelmään (OVA-käyttöönotto) 2.4.0a
• SANnav-peruskäyttöjärjestelmän suojauspäivitykset, jotka sisältyvät myös sannav_ova_8x_os_05_2025 OVA -korjaukseen. OVA-korjaustiedosto voidaan asentaa versioihin 2.3.0, 2.3.0a, 2.3.1, 2.3.1a, 2.3.1b, 2.4.0
• Tietoturvapäivitys sisältyy Brocade ASCG -peruskäyttöjärjestelmään (OVA-käyttöönotto) 3.3.0