Bulletin d'alerte Debian

DLA-139-1 eglibc -- Mise à jour de sécurité pour LTS

Date du rapport :
28 janvier 2015
Paquets concernés :
eglibc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-0235.
Plus de précisions :

Une vulnérabilité a été corrigée dans eglibc, la version de Debian de la bibliothèque GNU C :

  • CVE-2015-0235

    Qualys a découvert que les fonctions gethostbyname et gethostbyname2 étaient sujettes à un dépassement de tampon si on leur fournit des arguments d'adresses IP contrefaits. Cela pourrait être utilisé par un attaquant pour exécuter du code arbitraire dans les processus qui appellent les fonctions affectées.

Le bogue original de glibc a été signalé par Peter Klotz.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 2.11.3-4+deb6u4 de eglibc.

Nous vous recommandons de mettre à jour vos paquets eglibc.

Les trois autres CVE corrigés dans Debian Wheezy à l’aide de DSA 3142-1 ont déjà été corrigées dans Squeeze LTS à l’aide de DLA 97-1.