Рекомендация Debian по безопасности

DSA-3481-1 glibc -- обновление безопасности

Дата сообщения:
16.02.2016
Затронутые пакеты:
glibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 812441, Ошибка 812445, Ошибка 812455.
В каталоге Mitre CVE: CVE-2015-7547, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Более подробная информация:

В библиотеке GNU C, glibc, было обнаружено несколько уязвимостей.

Первая уязвимость, указанная ниже, считается критической.

  • CVE-2015-7547

    Члены Команды безопасности Google и сотрудники Red Hat обнаружили, что функция разрешения имён узлов eglibc, getaddrinfo, при обработке запросов AF_UNSPEC (для двойного поиска A/AAAA) может неправильно использовать свои внутренние буферы, что приводит к переполнению буфера и выполнению произвольного кода. Данная уязвимость касается большинства приложений, выполняющих разрешение имён узлов с помощью getaddrinfo, включая системные службы.

  • CVE-2015-8776

    Адам Нильсен обнаружил, что если неправильно разделённое значение, обозначающее время, передаётся strftime, то функция strftime может аварийно завершить работу, либо может произойти утечка информации. Приложения обычно передают только корректную информацию о времени функции strftime; подверженные данной проблеме приложения не известны.

  • CVE-2015-8778

    Сабольч Наги сообщил, что редко используемые функции hcreate и hcreate_r неправильно выполняют проверку размера аргумента, что приводит к аварийной остановке (отказ в обслуживании) в случае использования определённых аргументов. Пока ничего не известно о приложениях, подверженных данной проблеме.

  • CVE-2015-8779

    Функция catopen содержит несколько неограниченных выделений стэка (переполнение стэка), что приводит к аварийной остановке процесса (отказ в обслуживании). Пока ничего не известно о приложениях, подверженных данной проблеме.

Хотя требуется лишь убедиться, что ни один процесс более не использует старую библиотеку glibc, рекомендуется перезагрузить машины после применения данного обновление безопасности.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.19-18+deb8u3.

В нестабильном выпуске (sid) эти проблемы будут исправлены в версии 2.21-8.

Рекомендуется обновить пакеты glibc.