Bulletin d'alerte Debian

DLA-350-1 eglibc -- Mise à jour de sécurité pour LTS

Date du rapport :
26 novembre 2015
Paquets concernés :
eglibc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 803927.
Plus de précisions :

La fonction strxfrm() est vulnérable à des dépassements d'entier lors du calcul de la taille d'allocations de mémoire (analogue à CVE-2012-4412). De plus, dans la mesure où elle se replie sur l'utilisation d'alloca() quand malloc() échoue, elle est vulnérable à des dépassements de pile (analogue à CVE-2012-4424).

Ces problèmes ont été corrigés dans Debian 6 Squeeze avec eglibc version 2.11.3-4+deb6u8. Nous vous recommandons de mettre à jour libc6 et les autres paquets fournis par eglibc.