Разработчики ОС «Аврора» исправили уязвимость в glibc

В начале июня было подготовлено два варианта исправления, проходящих тестовый фреймворк мэйнтейнеров glibc и внутренний тестовый набор «Авроры». 3 июня был выбран один из вариантов и отправлен в список рассылки glibc. Через неделю был предложен еще один аналогичный по подходу патч, который исправлял проблему в multiarch-реализации. Месяц заняло тестирование и юридическое оформление. 8 июля исправления были приняты в основную ветку готовящегося релиза glibc 2.32. Реализация включает два патча: первый для multiarch-реализации memcpy для ARMv7, а второй для общей ассемблерной реализации memcpy() и memmove() для ARM.

«Очень важно не только использовать готовые opensource компоненты, но и обладать достаточной экспертизой для своевременного внесения изменений в глобальные
проекты, не дожидаясь пока кто-то это сделает за тебя, — комментирует Роман Аляутдин, директор департамента разработки ОС и сервисов компании «Открытая мобильная платформа» (ОМП) — разработчика ОС «Аврора». — Сегодня мы развиваем свою систему «Аврора» в трех российских центрах разработки и рады, что у нас такие эксперты есть».

Информацию об уязвимости опубликовали специалисты по информационной безопасности Cisco в мае 2020 г. По их данным, она была вызвана некорректной обработкой отрицательных значений параметра, определяющего размер копируемой области, из-за использования ассемблерных оптимизаций, манипулирующих знаковыми 32-разрядными целыми числами. Уязвимости был присвоен высокий уровень опасности, однако с ее исправлением возникли проблемы.

SUSE и Red Hat объявили о том, что проблема не затрагивает их платформы, потому что они не формируют сборки для 32-разрядных систем ARMv7. Остальные разработчики видимо решили, что проблему будут решать мэйнтейнеры glibc, и тоже не проявили желания заняться исправлением бага. Так, для Debian, Fedora, Ubuntu, OpenEmbedded, Tizen соответствующие пакеты не выпущены до сих пор. Собственный патч предложил Huawei, однако выяснилось, что он не обрабатывает все возможные комбинации входных данных.

Функция memcpy() активно применяется в приложениях, а процессоры ARMv7 распространены в автомобильных системах, мобильных, промышленных, потребительских, коммуникационных и встраиваемых устройствах, которые потенциально могут стать объектами атак с использованием Bluetooth, HD Radio/DAB, USB, CAN bus, Wi-Fi и других внешних источников данных.

Минкомсвязи хочет влить миллиарды рублей в российскую мобильную ОС

Российские разработчики объединяются для создания решений на базе отечественных технологий

В России ИТ-оттепель: Вместо отечественного ПО на смартфоны будут предустанавливать только иконки для его скачивания

Появился первый антивирус Dr.Web для мобильной операционной системы «Аврора»

ОС «Аврора» и платформа управления «Аврора Центр» получили сертификаты соответствия ФСТЭК России

Европу ждет крупнейший в истории обвал рынка смартфонов. Россия пострадает больше всех

Подобрать облачную инфраструктуру

От 346 руб./месяц

Подобрать выделенный сервер

От 1499 руб./месяц

Подобрать виртуальный сервер

От 30 руб./месяц

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

По итогам 2019 г. выручка участников CNews100 выросла до рекордных ₽1566 млрд.

Сергей Добриднюк

«Диасофт»

По итогам 2019 г. выручка участников CNews100 выросла до рекордных ₽1566 млрд.

Сергей Добриднюк

«Диасофт»

Рейтинг: крупнейшие поставщики решений для видеонаблюдения в России По итогам 2019 г. выручка 10 лидеров рейтинга выросла на 37%, до ₽7,2 млрд.