Säkerhetsbulletin från Debian

DSA-3012-1 eglibc -- säkerhetsuppdatering

Rapporterat den:
2014-08-27
Berörda paket:
eglibc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-5119.
Ytterligare information:

Tavis Ormandy upptäckte ett heap-baserat buffertspill i translitterationsmodulen som läser in kod i eglibc, Debians version av GNU C-biblioteket. Som en följd av detta kan en angripare som kan tillhandahålla en skapad destinationsteckuppsättningsparameter till iconv-relaterade teckenkonverteringsfunktioner få möjlighet att köra godtycklig kod.

Denna uppdateringen tar bort stöd för laddningsbara gconv-translitterationsmoduler. Utöver denna säkerhetssårbarhet hade modulladdningskoden funktionella fel som förhindrade den att fungera för det avsedda ändamålet.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.13-38+deb7u4.

Vi rekommenderar att ni uppgraderar era eglibc-paket.