中危 Glib 拒绝服务漏洞(CVE-2023-32636)

CVE编号

CVE-2023-32636

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-12-14

漏洞描述

添加的额外输入验证引入的拒绝服务攻击 GLib 的 GVariant 反序列化代码容易受到为解决CVE-2023-29499 。 偏移量表验证可能非常慢。此错误不会影响任何已发布的 GLib 版本，但会影响遵循 GLib 开发人员指导向后移植 CVE -2023-29499 初始修复程序的 GLib 发行商。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://gitlab.gnome.org/GNOME/glib/-/issues/2841
https://https://discourse.gnome.org/t/multiple-fixes-for-gvariant-normalisati...
https://security.netapp.com/advisory/ntap-20231110-0002/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	gnome	glib	*		Up to (excluding) 2.74.4
	运行在以下环境
	系统	debian_10	glib2.0	*		Up to (excluding) 2.58.3-2+deb10u3
	运行在以下环境
	系统	debian_11	glib2.0	*		Up to (excluding) 2.66.8-1
	运行在以下环境
	系统	debian_12	glib2.0	*		Up to (excluding) 2.74.6-2
	运行在以下环境
	系统	debian_sid	glib2.0	*		Up to (excluding) 2.78.1-2
	运行在以下环境
	系统	fedora_37	mingw32-glib2	*		Up to (excluding) 2.74.7-1.fc37
	运行在以下环境
	系统	fedora_38	mingw32-glib2	*		Up to (excluding) 2.74.7-1.fc38
	运行在以下环境
	系统	ubuntu_20.04	glib2.0	*		Up to (excluding) 2.64.6-1~ubuntu20.04.6
	运行在以下环境
	系统	ubuntu_22.04	glib2.0	*		Up to (excluding) 2.72.4-0ubuntu2.2
	运行在以下环境
	系统	ubuntu_22.10	glib2.0	*		Up to (excluding) 2.74.3-0ubuntu1.2

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com