Debians sikkerhedsbulletin

DSA-3481-1 glibc -- sikkerhedsopdatering

Rapporteret den:
16. feb 2016
Berørte pakker:
glibc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 812441, Fejl 812445, Fejl 812455.
I Mitres CVE-ordbog: CVE-2015-7547, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Yderligere oplysninger:

Flere sårbarheder er rettet i GNU C Library, glibc.

Den første sårbarhed herunder anses for at være kritisk.

  • CVE-2015-7547

    Google Security Team og Red Hat opdagede at funktionen til værtsnavnresolving i eglibc, getaddrinfo, ved behandling af AF_UNSPEC-forespørgsler (til dobbelte A-/AAAA-opslag), kunne fejlhåndtere sine interne buffere, førende til et stakbaseret bufferoverløb og udførelse af vilkårlig kode. Sårbarheden påvirker de fleste applikationer, som udfører værtsnavneoplysning ved hjælp af getaddrinfo, herunder systemtjenester.

  • CVE-2015-8776

    Adam Nielsen opdagede at, hvis en ugyldigt separeret tidsværdi blev overført til strftime, kunne strftime-funktionen gå ned eller lække oplysninger. Applikationer overfører normalt kun gyldige tidsoplysninger til strftime; der er ikke kendskab til påvirkede applikationer.

  • CVE-2015-8778

    Szabolcs Nagy rapporterede at de sjældent anvendte funktioner hcreate og hcreate_r, ikke kontrollerede størrelsesparameteret på korrekt vis, førende til et nedbrud (lammelsesangreb) ved visse parametre. Der er i øjeblikket ikke kendskab til påvirkede applikationer.

  • CVE-2015-8779

    Funktionen catopen indeholdt flere ikke-bundne stakallokeringer (stakoverløb), forårsagende at processen gik ned (lammelsesangreb). Der er i øjeblikket kunne kendskab til påvirkede applikationer hvad angår sikkerhed.

Om end det kun er nødvendigt at sikre sig, at alle processer ikke længere anvender det gamle eglibc, anbefales det at genstarte maskinen efter at have installeret sikkerhedsopdateringen.

I den stabile distribution (jessie), er disse problemer rettet i version 2.19-18+deb8u3.

I den ustabile distribution (sid), vil disse problemer blive rettet i version 2.21-8.

Vi anbefaler at du opgraderer dine glibc-pakker.