Säkerhetsbulletin från Debian

DSA-2976-1 eglibc -- säkerhetsuppdatering

Rapporterat den:
2014-07-10
Berörda paket:
eglibc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0475.
Ytterligare information:

Stephane Chazelas upptäckte att GNU C-biblioteket, glibc, behandlade ".."-sökvägssegment i locale-relaterade miljövariabler, vilket möjligen kunde tillåta angripare att förbigå avsedda restriktioner, så som ForceCommand i OpenSSH, om man antar att dom kan tillhandahålla specialskrivna locale-inställningar.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.13-38+deb7u3.

Denna uppdatering inkluderar även förändringar som tidigare schemalagts för nästa punktutgåva av Wheezy som version 2.13-38+deb7u2. Se Debians förändringslogg för detaljer.

Vi rekommenderar att ni uppgraderar era eglibc-paket.