[TLP:CLEAR]
bollettino di sicurezza 88/2026
Aggiornamenti Gnu glibc
25-03-2026
glibc, dns, nsswitch, logic flaw, unix-like
descrizione
Le vulnerabilità CVE-2026-4437 e CVE-2026-4438 interessano la GNU C Library (glibc) e risiedono nelle funzioni gethostbyaddr e gethostbyaddr_r, utilizzate per la risoluzione inversa dei nomi host. In specifiche condizioni di configurazione del file nsswitch.conf, una risposta DNS appositamente manipolata può indurre la libreria a interpretare come valida una sezione non conforme della risposta DNS, violando le specifiche del protocollo. Questo può portare a effetti indesiderati nel processo di risoluzione dei nomi, con potenziali implicazioni sulla sicurezza e affidabilità dei sistemi.Le vulnerabilità sono di tipo logic flaw e possono impattare la correttezza del trattamento delle risposte DNS.
note
Le vulnerabilità si manifestano solo in presenza di specifiche configurazioni del file nsswitch.conf. Sono coinvolte le funzioni gethostbyaddr e gethostbyaddr_r della glibc, fondamentali per la risoluzione inversa dei nomi host nei sistemi Unix-like. Non sono riportate informazioni su exploit attivi o sulla presenza di zero-day. Non sono indicate mitigazioni o workaround nel testo fornito. Si raccomanda di monitorare i sistemi che utilizzano la glibc per attività anomale nella risoluzione DNS e di valutare la priorità di aggiornamento in base all'esposizione del servizio e alla configurazione di nsswitch.conf.CVE
| CVE | CVSS-3.1 | CVSS-4.0 | EPSS |
|---|---|---|---|
| CVE-2026-4437 | 7.5 | -- | 0.052% | 16.33% |
| CVE-2026-4438 | 5.4 | -- | 0.030% | 8.53% |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-125 | Out-of-bounds Read |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| gnu | glibc
|