GLib 是许多使用 C 语言开发的库和应用程序所依赖的基础组件,提供了核心对象系统、主循环机制,以及字符串处理和通用数据结构等常用功能,在 GNOME 相关生态中被广泛使用。
6 月 1 日,相关安全更新发布,用于修复 GLib 中发现的一项内存损坏漏洞。该问题风险较高,建议受影响环境尽快完成升级。
漏洞详情
CVE:CVE-2021-27219
CVSS 评分:9.8
严重程度:高
该漏洞存在于早于 2.66.6 的 GNOME GLib 版本,以及早于 2.67.3 的 2.67.x 版本中。问题根源是 64 位到 32 位的隐式类型转换,导致函数 g_bytes_new 在 64 位平台上可能发生整数溢出,进而引发内存损坏。
受影响产品和版本
- Red Hat Enterprise Linux for x86_64 – Extended Update Support 7.7 x86_64
- Red Hat Enterprise Linux for IBM Z Systems – Extended Update Support 7.7 s390x
- Red Hat Enterprise Linux for Power, Big Endian – Extended Update Support 7.7 ppc64
- Red Hat Enterprise Linux EUS Compute Node 7.7 x86_64
- Red Hat Enterprise Linux Server – AUS 7.7 x86_64
- Red Hat Enterprise Linux for Power, Little Endian – Extended Update Support 7.7 ppc64le
- Red Hat Enterprise Linux Server – TUS 7.7 x86_64
- Red Hat Enterprise Linux Server (for IBM Power LE) – Update Services for SAP Solutions 7.7 ppc64le
- Red Hat Enterprise Linux Server – Update Services for SAP Solutions 7.7 x86_64
修复建议
目前,glib2 的安全更新已发布,可用于 Red Hat Enterprise Linux 7.7 扩展更新支持相关环境。对于上述受影响版本,建议尽快评估并部署更新,以降低漏洞带来的安全风险。
在执行升级前,建议结合当前系统版本、业务依赖和变更流程进行验证,并参考对应更新说明了解本次修复包含的具体内容。
如需进一步查看漏洞细节及升级信息,可查阅相关官方安全公告与更新文档。
