Säkerhetsbulletin från Debian
DSA-2976-1 eglibc -- säkerhetsuppdatering
- Rapporterat den:
- 2014-07-10
- Berörda paket:
- eglibc
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-0475.
- Ytterligare information:
-
Stephane Chazelas upptäckte att GNU C-biblioteket, glibc, behandlade ".."-sökvägssegment i locale-relaterade miljövariabler, vilket möjligen kunde tillåta angripare att förbigå avsedda restriktioner, så som ForceCommand i OpenSSH, om man antar att de kan tillhandahålla specialskrivna locale-inställningar.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.13-38+deb7u3.
Denna uppdatering inkluderar även förändringar som tidigare schemalagts för nästa punktutgåva av Wheezy som version 2.13-38+deb7u2. Se Debians förändringslogg för detaljer.
Vi rekommenderar att ni uppgraderar era eglibc-paket.