Информация по безопасности / 2014 / Информация о безопасности -- DSA-2976-1 eglibc

Рекомендация Debian по безопасности

DSA-2976-1 eglibc -- обновление безопасности

Дата сообщения:

10.07.2014

Затронутые пакеты:

eglibc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-0475.

Более подробная информация:

Стефан Шезала обнаружил, что библиотека C от GNU, glibc, обрабатывает сегменты пути вида ".." при помощи переменных, связанных с локалью, что возможно позволяет злоумышленникам обойти установленные ограничения, такие как ForceCommand в OpenSSH, при условии, что они могут передать специально сформированные настройки локали.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.13-38+deb7u3.

Данное обновление также включает в себя изменения, которые ранее было запланировано включить в следующую редакцию wheezy как версию пакет 2.13-38+deb7u2. Дополнительную информацию см. в журнал изменений Debian.

Рекомендуется обновить пакеты eglibc.