Bulletin d'alerte Debian
DSA-2058-1 glibc, eglibc -- Plusieurs vulnérabilités
- Date du rapport :
- 10 juin 2010
- Paquets concernés :
- glibc, eglibc
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 583908.
Dans le dictionnaire CVE du Mitre : CVE-2008-1391, CVE-2009-4880, CVE-2009-4881, CVE-2010-0296, CVE-2010-0830. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans la bibliothèque C de GNU (
GNU C Library
ou glibc) et ses dérivées. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.- CVE-2008-1391, CVE-2009-4880, CVE-2009-4881
Maksymilian Arciemowicz a découvert que la bibliothèque C de GNU ne gère pas correctement les dépassements d'entier dans la famille de fonctions strfmon. Si un utilisateur ou un système automatisé était piégé dans le traitement d'une chaîne de format contrefaite pour l'occasion, un attaquant distant pourrait planter des applications, conduisant à un déni de service.
- CVE-2010-0296
Jeff Layton et Dan Rosenberg ont découvert que la bibliothèque C de GNU ne gère pas correctement les nouvelles lignes dans la famille de fonctions mntent. Si un attaquant local était capable d'injecter de nouvelles lignes dans une entrée de montage par l'intermédiaire d'autres assistants de montage vulnérables, ils pourraient perturber le système ou éventuellement obtenir des droits de superutilisateur.
- CVE-2010-0830
Dan Rosenberg a découvert que la bibliothèque C de GNU ne validait pas correctement certains en-têtes de programme ELF. Si un utilisateur ou un système automatisé était piégé dans la vérification d'un programme ELF contrefait pour l'occasion, un attaquant distant pourrait exécuter du code arbitraire avec des droits d'utilisateur.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.7-18lenny4 du paquet glibc.
Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.1.11-1 du paquet eglibc.
Nous vous recommandons de mettre à jour vos paquets glibc ou eglibc.
- CVE-2008-1391, CVE-2009-4880, CVE-2009-4881
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7-18lenny4.diff.gz
- http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7-18lenny4.dsc
- http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/glibc/glibc-source_2.7-18lenny4_all.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales_2.7-18lenny4_all.deb
- http://security.debian.org/pool/updates/main/g/glibc/glibc-doc_2.7-18lenny4_all.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales_2.7-18lenny4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-pic_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dbg_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_alpha.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dev_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_alpha.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-prof_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-alphaev67_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_alpha.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-udeb_2.7-18lenny4_alpha.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dbg_2.7-18lenny4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-i386_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-i386_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_amd64.udeb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_amd64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_amd64.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_amd64.udeb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_arm.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_arm.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_arm.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_arm.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_armel.udeb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_armel.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_armel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_armel.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_hppa.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_hppa.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_hppa.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_hppa.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_i386.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_i386.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-i686_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-xen_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-amd64_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-amd64_2.7-18lenny4_i386.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_i386.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_i386.udeb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-udeb_2.7-18lenny4_ia64.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dbg_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_ia64.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dev_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-prof_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_ia64.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-pic_2.7-18lenny4_ia64.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6.1-udeb_2.7-18lenny4_ia64.udeb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_mips.udeb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_mips.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mips64_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-mipsn32_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-mips64_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mipsn32_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_mips.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_mips.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_mips.udeb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-mips64_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_mipsel.udeb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_mipsel.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mips64_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mipsn32_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_mipsel.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-mipsn32_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_mipsel.udeb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-ppc64_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_powerpc.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_powerpc.udeb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-ppc64_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_powerpc.udeb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_powerpc.udeb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-s390x_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_s390.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_s390.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_s390.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-s390x_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_s390.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/glibc/libc6-sparc64_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_sparc.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_sparc.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-sparc64_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_sparc.udeb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/libc6-sparcv9b_2.7-18lenny4_sparc.deb
- http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.