Рекомендация Debian по безопасности

DLA-411-1 eglibc -- обновление безопасности LTS

Дата сообщения:
05.02.2016
Затронутые пакеты:
eglibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9761, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Более подробная информация:

В eglibc, библиотеке GNU C для Debian, было обнаружено несколько уязвимостей:

  • CVE-2014-9761

    Функция nan* из math неправильно обрабатывает информационные строки, что приводит к выделению неограниченного стека на основе длины аргументов. Для решения этой проблемы грамматический разбор полезных данных был выделен из strtod в отдельные функции, которые nan* может вызывать напрямую.

  • CVE-2015-8776

    Функция strftime() позволяет получать доступ к неправильной области памяти, что позволяет вызывать ошибку сегментирования в вызывающем эту функцию приложении.

  • CVE-2015-8778

    Функция hcreate() возможно содержит переполнение целых чисел, которое может приводить к обращению к областям динамической памяти за пределами выделенного буфера.

  • CVE-2015-8779

    Функция catopen() содержит многочисленные выделения неограниченного стека.

В Debian 6 Squeeze эти проблемы были исправлены в eglibc версии eglibc_2.11.3-4+deb6u9. Рекомендуется обновить пакеты eglibc.