Bulletin d'alerte Debian

DLA-561-1 uclibc -- Mise à jour de sécurité pour LTS

Date du rapport :
26 juillet 2016
Paquets concernés :
uclibc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2224, CVE-2016-2225, CVE-2016-6264.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans uClibc, une implémentation de la bibliothèque C standard, beaucoup plus petite que glibc, ce qui la rend utile pour les systèmes embarqués.

  • CVE-2016-2224

    Correction d'un déni de service potentiel à l'aide d'une réponse DNS contrefaite pour l'occasion qui pourrait provoquer une boucle infinie.

  • CVE-2016-2225

    Correction d'un déni de service potentiel à l'aide d'un paquet contrefait pour l'occasion qui fera que l'analyseur dans libc/inet/resolv.c s'arrêtera prématurément.

  • CVE-2016-6264

    Il a été découvert que l'instruction BLT dans la vérification des valeurs signées de libc/string/arm/memset.S. Si le paramètre de memset est négatif, alors, la valeur ajoutée au PC sera grande. Un attaquant qui contrôle le paramètre de largeur de memset peut aussi contrôler la valeur du registre PC.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.9.32-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets uclibc.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.