Рекомендация Debian по безопасности
DSA-3142-1 eglibc -- обновление безопасности
- Дата сообщения:
- 27.01.2015
- Затронутые пакеты:
- eglibc
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2012-6656, CVE-2014-6040, CVE-2014-7817, CVE-2015-0235.
- Более подробная информация:
-
В eglibc, версии C-библиотеки GNU для Debian, были обнаружены и исправлены несколько уязвимостей:
- CVE-2015-0235
Сотрудники компании Qualys обнаружили, что функции gethostbyname и gethostbyname2 содержат переполнение буфера, которое возникает при передаче указанным функциям специально сформированного IP адреса в качестве аргумента. Данная уязвимость может использоваться злоумышленником для выполнения произвольного кода в процессах, вызвавших содержащие эту проблему функции.
Сообщение об ошибке в glibc было отправлено Петером Кольцом.
- CVE-2014-7817
Тим Уауг из Red Hat обнаружил, что опция WRDE_NOCMD функции wordexp не во всех случаях запрещает выполнение команд. Проблема позволяет злоумышленнику выполнить команды командной оболочки.
- CVE-2012-6656
CVE-2014-6040
Режим преобразования символов для определённых мультибайтных кодовых страниц IBM может выполнять чтение за пределами массива, что приводит к аварийному завершению работы приложения. В некоторых случаях эта ошибка позволяет удалённому злоумышленнику вызывать долговременный отказ в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.13-38+deb7u7.
В готовящемся стабильно (jessie) и нестабильном (sid) выпусках проблема CVE-2015-0235 была исправлена в версии 2.18-1 пакета glibc.
Рекомендуется обновить пакеты eglibc.
- CVE-2015-0235