Cisco Talos はこのほど、uClibC ライブラリにメモリ破損の脆弱性を発見しました。uClibC ライブラリを使用している Unix ベースのすべてのデバイスがこの脆弱性の影響を受ける可能性があります。uClibC および uClibC-ng は、人気のある gLibc ライブラリの軽量版です。gLibc ライブラリは GNU プロジェクトによる C 標準ライブラリ実装です。
TALOS-2022-1517(CVE-2022-29503 ~ CVE-2022-29504)は、uClibC および uClibc-ng におけるメモリ破損の脆弱性です。悪意のあるユーザーがスレッドを繰り返し作成した場合に発生する可能性があります。
多くの組み込みデバイスでこのライブラリが利用されていますが、Talos では Anker Eufy Homebase 2 バージョン 2.1.8.8h がこの脆弱性の影響を受けることを具体的に確認しています。Anker 社は、この問題に対するパッチを適用したことを確認しています。uClibC は公式の修正を提供していませんが、Talos はシスコの 90 日間の脆弱性開示ポリシーに従ってこの脆弱性を公開しています。Talos では、uClibC バージョン 0.9.33.2 および uClibC-ng バージョン 1.0.40 が今回の脆弱性の影響を受けることをテストして確認済みです。
本稿は 2022 年 09 月 22 日に Talos Group のブログに投稿された「Vulnerability Spotlight: Vulnerabilities in popular library affect Unix-based devices」の抄訳です。