Debians sikkerhedsbulletin

DLA-416-1 eglibc -- LTS-sikkerhedsopdatering

Rapporteret den:
16. feb 2016
Berørte pakker:
eglibc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-7547.
Yderligere oplysninger:

Flere sårbarheder er rettet i Debians GNU C Library, eglibc:

  • CVE-2015-7547

    Google Security Team og Red Hat opdagede at glibc's funktion til at resolve værtsnavne, getaddrinfo, kunne fejlbehandle sine interne buffere, når der blev behandlet AF_UNSPEC-forespørgsler (til dobbelte A/AAAA-opslag), førende til et stakbaseret bufferoverløb og udførelse af vilkårlig kode. Sårbarheden påvirker de fleste applikationer, som udfører værtsnavneopslag ved hjælp af getaddrinfo, herunder systemservices.

    Følgende sårbarheder mangler pt. CVE-tildelinger:

    Andreas Schwab rapportede om en hukommelseslækage (hukommelsesallokering uden tilsvarende deallokering) under behandling af visse DNS-svar i getaddrinfo, med relation til funktionen _nss_dns_gethostbyname4_r. Sårbarheden kunne føre til et lammelsesangreb.

I Debian 6 Squeeze, er disse problemer rettet i eglibc version eglibc_2.11.3-4+deb6u11. Desuden korrigerer denne version rettelsen af CVE-2014-9761 i Squeeze, der fejlagtigt markerede nogle få symboler som offentlige i stedet for private.

Selv om det kun er nødvendigt at sikre sig, at alle processer ikke længere anvender den gamle eglibc, anbefales det alligevel at genstarte maskinen efter at have rullet denne sikkerhedsopgradering på.

Vi anbefaler at du opgraderer din eglibc-pakke.