Рекомендация Debian по безопасности

DLA-97-1 eglibc -- обновление безопасности LTS

Дата сообщения:
29.11.2014
Затронутые пакеты:
eglibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-6656, CVE-2014-6040, CVE-2014-7817.
Более подробная информация:
  • CVE-2012-6656

    Исправление проверки при преобразовании из ibm930 в utf. При преобразовании кода IBM930 с помощью iconv(), если определён код IBM930, содержащий некорректный многобайтовый символ 0xffff, то работа iconv() прерывается с ошибкой сегментирования.

  • CVE-2014-6040

    Аварийные остановки при некорректных входных данных в gconv-модулях IBM [BZ #17325] Эти изменения основываются на исправлении BZ #14134 в коммите 6e230d11837f3ae7b375ea69d7905f0d18eb79e5.

  • CVE-2014-7817

    Функция wordexp() неправильно обрабатывает флаг WRDE_NOCMD при обработке арифметических входных данных в виде "$((... ``))", где "..." может быть любой корректной строкой. Обратные галочки в арифметических выражениях оцениваются командной оболочкой даже в том случае, если WRDE_NOCMD запрещает подстановку команд. Это позволяет злоумышленнику попытаться передать опасные команды с помощью выражений указанного выше вида и обойти флаг WRDE_NOCMD. Данная заплата исправляет эту проблему включением проверки WRDE_NOCMD в функции exec_comm(), единственном месте, где может выполняться интерпретатор команд. Все другие проверки WRDE_NOCMD излишни и были удалены.

В Debian 6 Squeeze эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u2