A distribuição Microsoft CBL-Mariner 2.0.20230924 reconstrói pacotes AArch64 devido a esse bug desagradável do GCC. A Microsoft lançou o CBL-Mariner 2.0.20230924 esta semana como a versão mais recente de sua distribuição Linux interna. A principal razão deste lançamento é lançar pacotes AArch64 reconstruídos após a recente vulnerabilidade de segurança do GCC que afetou o software construído em 64 bits do Arm.
Assim, o CVE-2023-4039 foi tornado público em meados de setembro por meio do recurso -fstack-protector do GCC , abrindo uma vulnerabilidade ao atingir o AArch64. CVE-2023-4039 permite que um invasor explore um buffer overflow existente em variáveis locais de tamanho dinâmico para serem exploradas sem ser detectado.
No mês passado, a Microsoft anunciou uma nova versão atualizada da distribuição CBL-Mariner Linux com muitas correções de segurança. Embora a Microsoft seja conhecida por seu próprio conjunto de problemas de segurança no Windows e software relacionado, a Microsoft no Patch Tuesday acabou lançando o CBL-Mariner 2.0.20230904 como sua distribuição Linux de código aberto que, com esta atualização, é impulsionada principalmente por correções de segurança.
Microsoft CBL-Mariner 2.0.20230924 reconstrói pacotes AArch64 devido a bug desagradável do GCC
“Uma falha no recurso -fstack-protector em cadeias de ferramentas baseadas em GCC direcionadas ao AArch64 permite que um invasor explore um buffer overflow existente em variáveis locais de tamanho dinâmico em seu aplicativo sem que isso seja detectado. Essa falha do protetor de pilha se aplica apenas ao C99 -style variáveis locais de tamanho dinâmico ou aquelas criadas usando alloca(). O protetor de pilha opera conforme pretendido para variáveis locais de tamanho estaticamente.
O comportamento padrão quando o protetor de pilha detecta um estouro é encerrar seu aplicativo, resultando em perda controlada de disponibilidade. Um invasor que pode explorar um buffer overflow sem acionar o protetor de pilha pode ser capaz de alterar o controle de fluxo do programa para causar uma perda descontrolada de disponibilidade ou ir além e afetar a confidencialidade ou integridade.”
