Säkerhetsbulletin från Debian

DSA-3142-1 eglibc -- säkerhetsuppdatering

Rapporterat den:
2015-01-27
Berörda paket:
eglibc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-6656, CVE-2014-6040, CVE-2014-7817, CVE-2015-0235.
Ytterligare information:

Flera sårbarheter har rättats i eglibc, Debians version av GNU C-biblioteket:

  • CVE-2015-0235

    Qualys upptäckte att funktionerna gethostbyname och gethostbyname2 var sårbara för ett buffertspill om ett skapat IP-adressargument tillhandahålls. Detta kunde användas av en agripare för att köra godtycklig kod i processer som anropas av de påverkade funktionerna.

    Det ursprungliga glibc-felet rapporterades av Peter Klotz.

  • CVE-2014-7817

    Tim Waugh från Red Hat upptäckte att alternativet WRDE_NOCMD i funktionen wordexp inte undertryckte kommandokörning i alla fall. Detta tillåter en kontext-beroende angripare att köra skalkommandon.

  • CVE-2012-6656 CVE-2014-6040

    Koden för teckenuppsättningskonvertering för vissa IBM multibyteteckenuppsättningar kunde utföra en fältåtkomst utanför gränserna, vilket orsakar processen att krascha. I vissa scenarier tillät detta en fjärrangripare att orsaka en vidhållande överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.13-38+deb7u7.

För den kommande stabila utgåvan (Jessie) och den instabila utgåvan (Sid), har problemet CVE-2015-0235 rättats i version 2.18-1 av paketet glibc.

Vi rekommenderar att ni uppgraderar era eglibc-paket.