LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-43-1 eglibc

Bulletin d'alerte Debian

DLA-43-1 eglibc -- Mise à jour de sécurité pour LTS

Date du rapport :

2 septembre 2014

Paquets concernés :

eglibc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0475, CVE-2014-5119.

Plus de précisions :

• CVE-2014-0475

  Stéphane Chazelas a découvert que la bibliothèque C de GNU (GNU C Library ou glibc) traitait les segments de chemin « .. » dans des variables d'environnement liées aux paramètres linguistiques (« locale »), permettant éventuellement à des attaquants de contourner les restrictions voulues, telles que ForceCommand dans OpenSSH, en supposant qu'ils peuvent fournir des configurations de paramètres linguistiques contrefaites.

• CVE-2014-5119

  Tavis Ormandy a découvert un dépassement de tas dans le code de chargement du module de transcription d'eglibc, la version de Debian de la bibliothèque GNU C. En conséquence, un attaquant qui peut fournir un jeu de caractères contrefait, en argument aux fonctions de conversion de caractères liées à iconv pourrait exécuter du code arbitraire.

  Cette mise à jour supprime la prise en charge des modules chargeables de transcription de gconv. En plus de la vulnérabilité de sécurité, le code de chargement du module présente des défauts de fonctionnalité qui l'empêchent de fonctionner comme prévu.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.11.3-4+deb6u1 de eglibc.