GLSA 202409-22: GCC: Flawed Code Generation

http://security.gentoo.org/

Опасность:	средняя
Заголовок:	GCC: Flawed Code Generation
Дата:	24.09.2024
Ошибки:	#719466
ID:	202409-22

Сводка

A vulnerability has been discovered in GCC, which can lead to flawed code generation.

Назначение

The GNU Compiler Collection includes front ends for C, C++, Objective-C, Fortran, Ada, Go, D and Modula-2 as well as libraries for these languages (libstdc++,...).

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
sys-devel/gcc	< 10.0	>= 10.0	ppc, ppc64

Описание

A vulnerability has been discovered in GCC. Please review the CVE identifier referenced below for details.

Воздействие

The POWER9 backend in GNU Compiler Collection (GCC) could optimize multiple calls of the __builtin_darn intrinsic into a single call, thus reducing the entropy of the random number generator. This occurred because a volatile operation was not specified. For example, within a single execution of a program, the output of every __builtin_darn() call may be the same.

Обход

There is no known workaround at this time.

Решение

All GCC users should upgrade to the latest version:

          # emerge --sync
          # emerge --ask --oneshot --verbose ">=sys-devel/gcc-10.0"

And then select it with gcc-config:


          # gcc-config latest

In this case, users should also rebuild all affected packages with emerge -e, e.g.:


          # emerge --usepkg=n --emptytree @world

Ссылки

CVE-2019-15847

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202409-22.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.