旗鱼系统修复了华为都没有彻底解决的漏洞gblic

Aurora OS开发人员已经开发了两个补丁，这些补丁将包含在新的glibc版本中。 他们将消除该漏洞，攻击者可以通过该漏洞获得对汽车系统，移动，工业，消费者，通信和嵌入式设备的访问权限。
glibc的新补丁
Aurora移动操作系统的开发人员已修复了CVE-2020-6096严重glibc漏洞，该漏洞在32位ARMv7平台的memcpy（）函数的实现中得到了体现。使用未签名的指令重写了实现。补丁虽然很小，但是主要问题是保持执行速度并避免memcpy和memmove函数的性能下降，同时保持与输入值的所有组合的兼容性。
6月初，发布了两个修复程序，它们通过了glibc维护程序测试框架和Aurora内部测试套件。6月3日，选择了一个选项，并将其提交到glibc邮件列表。一周后，又提出了类似方法的另一个补丁，该补丁解决了多体系结构实施中的问题。测试和合法注册花了一个月的时间。7月8日，修复程序被推送到上游glibc 2.32版本中。该实现包括两个补丁：第一个补丁用于ARMv7的memcpy的多体系结构实现，第二个补丁用于ARM的memcpy（）和memmove（）的通用组装实现。
“非常重要的是，不仅要使用现成的开源组件，而且要有足够的专业知识来及时更改全球
项目，而不必等待别人为您完成，” Open Mobile Platform 操作系统开发和服务总监Roman Alyautdin说道。 “（OMP）-操作系统 “ Aurora” 的开发人员。“今天，我们正在3个俄罗斯开发中心开发我们的Aurora系统，我们很高兴有这样的专家。

问题的历史
关于此漏洞的信息由思科信息安全专家于2020年5月发布。据他们称，这是由于使用了可操纵带符号的32位整数的汇编程序优化而导致对确定复制区域大小的参数的负值处理不当引起的。该漏洞的严重性等级为高，但存在修复问题。
Aurora移动操作系统开发人员消除了Glibc中的关键漏洞CVE-2020-6096
Aurora移动操作系统开发人员修复了glibc中的CVE-2020-6096严重漏洞
SUSE和Red Hat宣布该问题不会影响他们的平台，因为他们没有为32位ARMv7系统构建内部版本。其余的开发人员显然认为glibc维护人员将解决此问题，并且也不希望修复该错误。因此，对于Debian，Fedora，Ubuntu，OpenEmbedded，Tizen，相应的软件包到目前为止尚未发布。华为提出了自己的补丁，但事实证明，它无法处理输入数据的所有可能组合。

memcpy（）函数广泛用于应用程序中，并且ARMv7处理器在汽车系统，移动，工业，消费类，通信和嵌入式设备中很常见，它们有可能成为使用蓝牙，高清无线电/ DAB，USB，CAN总线，Wi- Fi和其他外部数据源。