El 15 d’abril de 2026 SUSE va publicar SUSE-SU-2026:1369-1, una actualització de glibc per a SUSE Linux Enterprise 15 i openSUSE Leap 15.6 que corregeix dos errors en com la biblioteca processa les respostes DNS. Tots dos estan catalogats amb gravetat moderada, però val la pena aplicar-los perquè toquen codi que s’executa pràcticament a qualsevol programa que resol noms de xarxa.
Què falla exactament
glibc inclou el seu propi backend DNS, el que s’utilitza quan nsswitch.conf delega la resolució a dns. Els dos CVE afecten aquest camí.
CVE-2026-4437 és una lectura fora de límits en el processat de la resposta DNS. Si un servidor configurat retorna una resposta manipulada, el resolver pot tractar una secció que no és la de resposta com si ho fos, saltant-se el que diu l’especificació del DNS. A la pràctica això es tradueix en accessos a memòria fora del buffer quan una aplicació crida gethostbyaddr o gethostbyaddr_r amb el backend DNS actiu. El resultat més probable és una caiguda del procés, és a dir, denegació de servei.
CVE-2026-4438 és més subtil: amb certes respostes el resolver pot retornar al programa que el crida un nom de host invàlid, també en contra del que marca l’estàndard. Una aplicació que confiï en aquest nom per prendre decisions (registres, llistes de control d’accés per hostname, logs) rep una dada que no hauria d’haver passat la validació.
Les versions de glibc afectades van de la 2.34 a la 2.43. No cal que l’atacant sigui a la teva xarxa local: n’hi ha prou que controli, o sàpiga enverinar, una resposta del servidor DNS que el teu sistema consulta.
A qui afecta
A qualsevol sistema SUSE/openSUSE dels publicats a l’avís que faci servir el resolver de glibc, que és el normal. Pesen més els servidors que fan resolució inversa d’adreces IP de manera habitual: balancejadors, servidors de correu que comproven el PTR de qui es connecta, eines de monitoratge i qualsevol servei que registri el hostname del client. Allà és on gethostbyaddr es crida constantment i on una resposta manipulada té més superfície per fer mal.
Gravetat i mitigació
SUSE classifica tots dos errors com a moderats. No hi ha execució de codi demostrada; l’impacte realista és la caiguda del servei (CVE-2026-4437) o treballar amb un nom de host que no és vàlid (CVE-2026-4438).
La correcció és directa: actualitzar el paquet glibc amb zypper.
sudo zypper refresh
sudo zypper patchDesprés d’aplicar el pegat convé reiniciar els serveis que tinguin glibc carregat a memòria, o reiniciar la màquina si vols assegurar-te que res continua fent servir la versió antiga. No hi ha una mitigació còmoda que eviti actualitzar: el codi vulnerable és al mateix resolver, així que posar el pegat és el camí. Si gestiones openSUSE, tens més context sobre el cicle de la distribució a la fitxa d’openSUSE.
Font
- Avís oficial: SUSE-SU-2026:1369-1
- CVE-2026-4437 a NVD
- CVE-2026-4438 a NVD