Debians sikkerhedsbulletin

DSA-3012-1 eglibc -- sikkerhedsopdatering

Rapporteret den:
27. aug 2014
Berørte pakker:
eglibc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-5119.
Yderligere oplysninger:

Tavis Ormandy opdagede et heapbaseret bufferoverløb i translitterationsmodulet, som indlæser kode i eglibc, Debians udgave af GNU C-biblioteket. Som følge deraf, kunne en angriber, med mulighed for at levere et fabrikeret destinationstegnsætparameter til iconv-relaterede tegnkonverteringsfunktioner, få mulighed for at udføre vilkårlig kode.

Opdateringen fjerner understøttelse af indlæsbare gconv-translitterationsmoduler. Ud over sikkerhedssårbarheden, havde modulindlæsningskoden funktionelle fejl, som forhindrede det i at udføre det tilsigtede formål.

I den stabile distribution (wheezy), er dette problem rettet i version 2.13-38+deb7u4.

Vi anbefaler at du opgraderer dine eglibc-pakker.