关键漏洞信息 漏洞类型: UndefinedBehaviorSanitizer: Index 100 out of bounds for type 'SF_CUE_POINT [100]' CVE: CVE-2022-33064 报告者: pietroborrello 报告日期: April 29, 2022 相关提交: 4b01368 状态: Open 讨论: 是否为误报?是否应该修复? 漏洞描述 在使用 库时,如果 类型的索引值为100,则会导致 "undefined behavior" 错误。出现问题的代码位于 文件的第524行。 复现步骤 使用 编译器,并启用特定编译标志: 使用提供的测试用例: 运行程序后会出现 "index out of bounds" 的 UndefinedBehavior 报告。 影响 至截图为止,有部分用户认为这可能是一个代码误报问题,但也被列为高优先级补丁待处理的漏洞。用户当前使用的 仍然存在该问题,Linux发行版Debian和Ubuntu也已关注受到影响。 修复建议 修改源代码中 SF_CUE_POINT 结构体的定义,将其从 修改为 以适应灵活的数组成员。 进一步评估该误报的正确性,避免使用未验证的默认大小限制,特别是在未定长的缓冲区分配场景中。