Информация по безопасности / 2015 / Информация о безопасности -- DSA-3142-1 eglibc

Рекомендация Debian по безопасности

DSA-3142-1 eglibc -- обновление безопасности

Дата сообщения:

27.01.2015

Затронутые пакеты:

eglibc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-6656, CVE-2014-6040, CVE-2014-7817, CVE-2015-0235.

Более подробная информация:

В eglibc, версии C-библиотеки GNU для Debian, были обнаружены и исправлены несколько уязвимостей:

• CVE-2015-0235

  Сотрудники компании Qualys обнаружили, что функции gethostbyname и gethostbyname2 содержат переполнение буфера, которое возникает при передаче указанным функциям специально сформированного IP адреса в качестве аргумента. Данная уязвимость может использоваться злоумышленником для выполнения произвольного кода в процессах, вызвавших содержащие эту проблему функции.

  Сообщение об ошибке в glibc было отправлено Петером Кольцом.

• CVE-2014-7817

  Тим Уауг из Red Hat обнаружил, что опция WRDE_NOCMD функции wordexp не во всех случаях запрещает выполнение команд. Проблема позволяет злоумышленнику выполнить команды командной оболочки.

• CVE-2012-6656 CVE-2014-6040

  Режим преобразования символов для определённых мультибайтных кодовых страниц IBM может выполнять чтение за пределами массива, что приводит к аварийному завершению работы приложения. В некоторых случаях эта ошибка позволяет удалённому злоумышленнику вызывать долговременный отказ в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.13-38+deb7u7.

В готовящемся стабильно (jessie) и нестабильном (sid) выпусках проблема CVE-2015-0235 была исправлена в версии 2.18-1 пакета glibc.

Рекомендуется обновить пакеты eglibc.