Debian セキュリティ勧告
DLA-43-1 eglibc -- LTS セキュリティ更新
- 報告日時:
- 2014-09-02
- 影響を受けるパッケージ:
- eglibc
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-0475, CVE-2014-5119.
- 詳細:
-
- CVE-2014-0475
Stephane Chazelas さんが、GNU C ライブラリ glibc がロケールに関連する環境変数のパスの
..
の部分を処理してしまうことを発見しました。 潜在的には攻撃者が細工したロケール設定を提供できるものと仮定して、 OpenSSH の ForceCommand 等の意図した制限の迂回を攻撃者に許します。 - CVE-2014-5119
Tavis Ormandy さんが、Debian 版の GNU C ライブラリである eglibc の翻字モジュールを読み込むコードにヒープベースのバッファオーバーフローを発見しています。 結果として、細工した iconv 関連の文字変換関数への対象文字セット引数を提供できる攻撃者が任意のコードの実行に成功する可能性があります。
この更新により、ローダブルな gconv 翻字モジュールのサポートが削除されています。このセキュリティ脆弱性以外に、 モジュール読み込みコードには意図した目的のために動作しない機能的な不具合がありました。
Debian 6
Squeeze
では、この問題は eglibc バージョン 2.11.3-4+deb6u1 で修正されています。 - CVE-2014-0475