Scoperto bug in glibc che espone a esecuzione di codice remoto
È stata recentemente scoperta una vulnerabilità in glibc versione 2.39 e precedenti (CVE-2024-2961) che può causare un buffer overflow durante le conversioni di set di caratteri in ISO-2022-CN-EXT, risultando in potenziale esecuzione di codice remoto. Questo bug è sfruttabile tramite applicazioni PHP che utilizzano la funzionalità iconv per convertire set di caratteri. Tuttavia, il problema non risiede in PHP ma in glibc. Le applicazioni sono vulnerabili solo se chiamano funzioni o filtri iconv con set di caratteri forniti dall’utente. Le seguenti misure possono mitigare la vulnerabilità: installare aggiornamenti di sicurezza di glibc, non caricare l’estensione iconv, rimuovere il set di caratteri vulnerabile da gconv-modules-extra.conf, o limitare i set di caratteri alle sole opzioni consentite.