Bulletin d'alerte Debian

DLA-416-1 eglibc -- Mise à jour de sécurité pour LTS

Date du rapport :
16 février 2016
Paquets concernés :
eglibc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7547.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans eglibc, la bibliothèque C de GNU :

  • CVE-2015-7547

    L'équipe de sécurité de Google et Red Hat ont découvert que la fonction eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer ses tampons internes, menant à un dépassement de pile et à l'exécution de code arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant la résolution de noms d'hôte avec getaddrinfo, dont les services système.

    Les vulnérabilités suivantes corrigées n’ont pas encore d’affectation CVE :

    Andreas Schwab a signalé une fuite de mémoire (allocation de mémoire sans libération correspondante) lors du traitement de certaines réponses DNS dans getaddrinfo, lié à la fonction _nss_dns_gethostbyname4_r. Cette vulnérabilité pourrait conduire à un déni de service.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version eglibc_2.11.3-4+deb6u11 de eglibc. De plus cette version corrige le correctif pour CVE-2014-9761 dans Squeeze, qui avait marqué quelques symboles comme publics au lieu de privés.

Même s’il est seulement nécessaire de s’assurer que tous les processus n’utilisent plus l’ancienne eglibc, il est recommandé de redémarrer les machines après la mise à niveau de sécurité.

Nous vous recommandons de mettre à jour vos paquets eglibc.