Рекомендация Debian по безопасности

DLA-316-1 eglibc -- обновление безопасности LTS

Дата сообщения:
27.09.2015
Затронутые пакеты:
eglibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-8121.
Более подробная информация:

В eglibc было обнаружено несколько уязвимостей, которые могут приводить к повышению привилегий или отказу в обслуживании.

  • Слабая защиты указателей в glibc.

    Сначала эта проблема была обнаружена в динамическом загрузчике. Проблема состоит в том, что LD_POINTER_GUARD в окружении не очищается, что позволяет локальным злоумышленникам легко обходить защиту указателей в программах set-user-ID и set-group-ID.

  • Потенциальная аварийная остановка приложения из-за чтения за пределами ограничения в fnmatch.

    При обработке определённых неправильно сформированных шаблонов fnmatch может пропустить NUL-байт, завершающий шаблон. Потенциально это может приводить к аварийной остановке приложения в том случае, если fnmatch встречает неназначенную страницу до обнаружения NUL-байта.

  • Переполнение динамической памяти в _IO_wstr_overflow

    Неправильное вычисление в _IO_wstr_overflow потенциально может использоваться для переполнения буфера.

  • CVE-2014-8121

    DB_LOOKUP в nss_files/files-XXX.c в Name Service Switch (NSS) в библиотеке GNU C (также известной как glibc или libc6) версии 2.21 и более ранних неправильно выполняет проверку того, что файл открыт, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (бесконечный цикл) путём выполнения поиска в то время, когда база данных выполняет итерацию по базе данных, что приводит к сбросу указателя на файл.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.11.3-4+deb6u7.

Рекомендуется обновить пакеты.