Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-43-1 eglibc

Рекомендация Debian по безопасности

DLA-43-1 eglibc -- обновление безопасности LTS

Дата сообщения:

02.09.2014

Затронутые пакеты:

eglibc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-0475, CVE-2014-5119.

Более подробная информация:

• CVE-2014-0475

  Стефан Чезалас обнаружил, что библиотека GNU C, glibc, обрабатывает части пути ".." в переменных окружения, связанных с локалью, что может позволить злоумышленникам обойти такие ограничения, как ForceCommand в OpenSSH в том случае, если они могут передать специально подобранные настройки локали.

• CVE-2014-5119

  Тэвис Орманди обнаружил переполнение динамической памяти в модуле транслитерации для загрузки кода в eglibc, версии библиотеки GNU C для Debian. В результате злоумышленник, который может передать специально сформированный аргумент целевого набора символов функциям преобразования символов, связанным с iconv, может выполнить произвольный код.

  Данное обновление удаляет поддержку загружаемых модулей транслитерации gconv. Помимо этой уязвимости модуль загрузки кода содержал ошибки функциональности, которые не позволяли ему выполнять те задачи, для которых он создавался.

В Debian 6 Squeeze эти проблемы были исправлены в пакете eglibc версии 2.11.3-4+deb6u1