Debians sikkerhedsbulletin

DLA-411-1 eglibc -- LTS-sikkerhedsopdatering

Rapporteret den:
5. feb 2016
Berørte pakker:
eglibc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-9761, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Yderligere oplysninger:

Flere sårbarheder er rettet i Debians GNU C Library, eglibc:

  • CVE-2014-9761

    Maths nan*-funktion håndterede på ukorrekt vis payloadstrenge, medførende en unbounded stakallokering baseret på længden af parametrene. For at løse problemet, er payloadfortolkningen flytet væk fra strtod og ind i en separat funktion, som nan* kan kalde direkte.

  • CVE-2015-8776

    Funktionen strftime() gjorde det muligt at tilgå ugyldig hukommelse, gørende det muligt at segfaulte den kaldende applikation.

  • CVE-2015-8778

    hcreate() var sårbar over for et heltalsoverløb, hvilket kunne medføre heaptilgange uden for grænserne.

  • CVE-2015-8779

    Funktionen catopen() var ramt af flere unbounded stakallokeringer.

I Debian 6 Squeeze, er disse problemer rettet i eglibc version eglibc_2.11.3-4+deb6u9. Vi anbefaler at at opgraderer dine eglibc-pakker.