Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-416-1 eglibc

Рекомендация Debian по безопасности

DLA-416-1 eglibc -- обновление безопасности LTS

Дата сообщения:

16.02.2016

Затронутые пакеты:

eglibc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-7547.

Более подробная информация:

В eglibc, библиотеке GNU C для Debian, было обнаружено несколько уязвимостей:

• CVE-2015-7547

  Команда безопасности Google и сотрудники Red Hat обнаружили, что функция разрешения имён узлов в glibc, getaddrinfo, при обработке запросов AF_UNSPEC (для двойного поиска A/AAAA) может неправильно управлять внутренними буферами, что приводит к переполнению буфера и выполнению произвольного кода. Эта уязвимость касается большинства приложений, которые выполняют разрешение имён узлов с помощью getaddrinfo, включая системные службы.

• У следующей исправленной уязвимости в настоящее время отсутствует идентификатор CVE

  Андреас Шваб сообщил об утечке памяти (выделение буфера памяти без соответствующего освобождения) при обработке определённых ответов DNS в getaddrinfo, связанное с функцией _nss_dns_gethostbyname4_r. Эта уязвимость может приводить к отказу в обслуживании.

В Debian 6 Squeeze эти проблемы были исправлены в eglibc версии eglibc_2.11.3-4+deb6u11. Кроме того, эта версия корректирует исправление для CVE-2014-9761 в Squeeze, которое ошибочно отмечало несколько символов в качестве открытых, а не закрытых.

Хотя требуется только убедиться, что все процессы более не используют старую версию eglibc, рекомендуется перезапустить машины после применения данного обновление безопасности.

Рекомендуется обновить пакеты eglibc.