Bulletin d'alerte Debian

DSA-3481-1 glibc -- Mise à jour de sécurité

Date du rapport :
16 février 2016
Paquets concernés :
glibc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 812441, Bogue 812445, Bogue 812455.
Dans le dictionnaire CVE du Mitre : CVE-2015-7547, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans glibc, la bibliothèque C de GNU.

L'impact de la première vulnérabilité listée ci-dessous est considéré comme critique.

  • CVE-2015-7547

    L'équipe de sécurité de Google et Red Hat ont découvert que la fonction eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer ses tampons internes, menant à un dépassement de pile et à l'exécution de code arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant la résolution de noms d'hôte avec getaddrinfo, dont les services système.

  • CVE-2015-8776

    Adam Nielsen a découvert que si une valeur séparée de temps non valable était passée à strftime, alors la fonction strftime pourrait planter ou divulguer des informations. Les applications ne donnent normalement que des informations de temps valables à strftime ; aucune application connue n'est affectée.

  • CVE-2015-8778

    Szabolcs Nagy a signalé que les fonctions rarement utilisées hcreate et hcreate_r ne vérifiaient pas correctement l'argument de taille, menant à un plantage (déni de service) pour certains arguments. Aucune application affectée n'est connue à l'heure actuelle.

  • CVE-2015-8779

    La fonction catopen contient plusieurs allocations de pile non liées (dépassements), provoquant un plantage du processus (déni de service). Aucune application pour laquelle ce problème a un impact de sécurité n'est actuellement connue.

Bien qu'il soit seulement nécessaire d’être sûr que plus aucun processus n'utilise l'ancienne glibc, il est recommandé de redémarrer les machines après l'application de la mise à niveau de sécurité.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.19-18+deb8u3.

Pour la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.21-8.

Nous vous recommandons de mettre à jour vos paquets glibc.