Рекомендация Debian по безопасности

DSA-3142-1 eglibc -- обновление безопасности

Дата сообщения:
27.01.2015
Затронутые пакеты:
eglibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-6656, CVE-2014-6040, CVE-2014-7817, CVE-2015-0235.
Более подробная информация:

В eglibc, версии C-библиотеки GNU для Debian, были обнаружены и исправлены несколько уязвимостей:

  • CVE-2015-0235

    Сотрудники компании Qualys обнаружили, что функции gethostbyname и gethostbyname2 содержат переполнение буфера, которое возникает при передаче указанным функциям специально сформированного IP адреса в качестве аргумента. Данная уязвимость может использоваться злоумышленником для выполнения произвольного кода в процессах, вызвавших содержащие эту проблему функции.

    Сообщение об ошибке в glibc было отправлено Петером Кольцом.

  • CVE-2014-7817

    Тим Уауг из Red Hat обнаружил, что опция WRDE_NOCMD функции wordexp не во всех случаях запрещает выполнение команд. Проблема позволяет злоумышленнику выполнить команды командной оболочки.

  • CVE-2012-6656 CVE-2014-6040

    Режим преобразования символов для определённых мультибайтных кодовых страниц IBM может выполнять чтение за пределами массива, что приводит к аварийному завершению работы приложения. В некоторых случаях эта ошибка позволяет удалённому злоумышленнику вызывать долговременный отказ в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.13-38+deb7u7.

В готовящемся стабильно (jessie) и нестабильном (sid) выпусках проблема CVE-2015-0235 была исправлена в версии 2.18-1 пакета glibc.

Рекомендуется обновить пакеты eglibc.