Bulletin d'alerte Debian

DLA-411-1 eglibc -- Mise à jour de sécurité pour LTS

Date du rapport :
5 février 2016
Paquets concernés :
eglibc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9761, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans la bibliothèque GNU C de Debian, eglibc :

  • CVE-2014-9761

    La fonction mathématique nan* ne gère pas correctement les chaînes de charge utile, produisant une allocation de tas non limitée, basée sur la longueur des arguments. Pour résoudre ce problème, l’analyse de la charge utile a été réécrite hors de strtod dans une fonction séparée que nan* peut appeler directement.

  • CVE-2015-8776

    La fonction strftime() fait qu’il est possible d’accéder à de la mémoire non valable, permettant une erreur de segmentation dans l’application appelante.

  • CVE-2015-8778

    Hcreate() était vulnérable à un dépassement d'entier, permettant un accès hors limites du tas.

  • CVE-2015-8779

    La fonction catopen() souffrait de plusieurs allocations de pile non limitées.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version eglibc_2.11.3-4+deb6u9 de eglibc. Nous vous recommandons de mettre à jour vos paquets eglibc.