Рекомендация Debian по безопасности

DLA-416-1 eglibc -- обновление безопасности LTS

Дата сообщения:
16.02.2016
Затронутые пакеты:
eglibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-7547.
Более подробная информация:

В eglibc, библиотеке GNU C для Debian, было обнаружено несколько уязвимостей:

  • CVE-2015-7547

    Команда безопасности Google и сотрудники Red Hat обнаружили, что функция разрешения имён узлов в glibc, getaddrinfo, при обработке запросов AF_UNSPEC (для двойного поиска A/AAAA) может неправильно управлять внутренними буферами, что приводит к переполнению буфера и выполнению произвольного кода. Эта уязвимость касается большинства приложений, которые выполняют разрешение имён узлов с помощью getaddrinfo, включая системные службы.

    The following fixed vulnerabilities currently lack CVE assignment:

    Андреас Шваб сообщил об утечке памяти (выделение буфера памяти без соответствующего освобождения) при обработке определённых ответов DNS в getaddrinfo, связанное с функцией _nss_dns_gethostbyname4_r. Эта уязвимость может приводить к отказу в обслуживании.

В Debian 6 Squeeze эти проблемы были исправлены в eglibc версии eglibc_2.11.3-4+deb6u11. Кроме того, эта версия корректирует исправление для CVE-2014-9761 в Squeeze, которое ошибочно отмечало несколько символов в качестве открытых, а не закрытых.

Хотя требуется только убедиться, что все процессы более не используют старую версию eglibc, рекомендуется перезапустить машины после применения данного обновление безопасности.

Рекомендуется обновить пакеты eglibc.