Connectrix B-Series: GNU Glibc podatny na uszkodzenie pamięci przez przepełnienie bufora sterty

Do uszkodzenia dochodzi, gdy assert() nie działa w określonych warunkach. 

Wiadomo, że przepełnienie bufora sterty powoduje poważne uszkodzenie poufności, integralności i dostępności programu. Jednak uznani badacze wykazali tylko odmowę usługi (DoS) za pomocą błędu segmentacji, a dostawca uważa, że luka jest stosunkowo niewielka. Można go wykorzystać tylko przy użyciu niestandardowych setuid programów i nie ma to wpływu na żaden ze znanych i domyślnych programów UNIX.

Produkty, których dotyczy problem

• Brocade Fabric OS w wersjach od 9.1.0 do 9.2.1b i 9.2.2
• Brocade SANnav podstawowe wersje systemu operacyjnego (wdrożenie OVA) starsze niż 2.4.0a
• Brocade ASCG podstawowe wersje systemu operacyjnego (wdrożenie OVA) starsze niż 3.3.0

Potwierdzono, że problem nie dotyczy produktów.

• System operacyjny Brocade Fabric w wersjach od 9.0.0 do 9.0.1e1 — [VEX Justification: Vulnerable_code_not_present]
• Wersje systemu operacyjnego Brocade Fabric starsze niż 9.0 — [VEX Justification: Component_not_present]
• Ta luka nie dotyczy standardowych wdrożeń Brocade SANnav — [VEX Justification: Vulnerable_code_cannot_be_contolled_by_adversary]
• Ta luka nie dotyczy standardowych wdrożeń Brocade ASCG — [VEX Justification: Vulnerable_code_cannot_be_contolled_by_adversary]

Rozwiązanie

• Aktualizacja zabezpieczeń przewidziana w systemach operacyjnych Brocade Fabric OS 9.2.1c i 9.2.2a
• Aktualizacja zabezpieczeń dostarczana w podstawowym systemie operacyjnym Brocade SANnav (wdrożenie OVA) 2.4.0a
• Aktualizacje zabezpieczeń podstawowego systemu operacyjnego SANnav również zawarte w poprawce sannav_ova_8x_os_05_2025 OVA. Poprawkę OVA można zastosować do wersji 2.3.0, 2.3.0a, 2.3.1, 2.3.1a, 2.3.1b, 2.4.0
• Aktualizacja zabezpieczeń dostarczana w podstawowym systemie operacyjnym Brocade ASCG (wdrożenie OVA) 3.3.0