Debian セキュリティ勧告

DSA-3012-1 eglibc -- セキュリティ更新

報告日時:
2014-08-27
影響を受けるパッケージ:
eglibc
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-5119.
詳細:

Tavis Ormandy さんが、Debian 版の GNU C ライブラリである eglibc の翻字モジュールを読み込むコードにヒープベースのバッファオーバーフローを発見しています。 結果として、細工した iconv 関連の文字変換関数への対象文字セット引数を提供できる攻撃者が任意のコードの実行に成功する可能性があります。

この更新により、ローダブルな gconv 翻字モジュールのサポートが削除されています。このセキュリティ脆弱性以外に、 モジュール読み込みコードには意図した目的のために動作しない機能的な不具合がありました。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.13-38+deb7u4 で修正されています。

直ちに eglibc パッケージをアップグレードすることを勧めます。