Säkerhetsbulletin från Debian
DSA-3142-1 eglibc -- säkerhetsuppdatering
- Rapporterat den:
- 2015-01-27
- Berörda paket:
- eglibc
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-6656, CVE-2014-6040, CVE-2014-7817, CVE-2015-0235.
- Ytterligare information:
-
Flera sårbarheter har rättats i eglibc, Debians version av GNU C-biblioteket:
- CVE-2015-0235
Qualys upptäckte att funktionerna gethostbyname och gethostbyname2 var sårbara för ett buffertspill om ett skapat IP-adressargument tillhandahålls. Detta kunde användas av en agripare för att köra godtycklig kod i processer som anropas av de påverkade funktionerna.
Det ursprungliga glibc-felet rapporterades av Peter Klotz.
- CVE-2014-7817
Tim Waugh från Red Hat upptäckte att alternativet WRDE_NOCMD i funktionen wordexp inte undertryckte kommandokörning i alla fall. Detta tillåter en kontext-beroende angripare att köra skalkommandon.
- CVE-2012-6656
CVE-2014-6040
Koden för teckenuppsättningskonvertering för vissa IBM multibyteteckenuppsättningar kunde utföra en fältåtkomst utanför gränserna, vilket orsakar processen att krascha. I vissa scenarier tillät detta en fjärrangripare att orsaka en vidhållande överbelastning.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.13-38+deb7u7.
För den kommande stabila utgåvan (Jessie) och den instabila utgåvan (Sid), har problemet CVE-2015-0235 rättats i version 2.18-1 av paketet glibc.
Vi rekommenderar att ni uppgraderar era eglibc-paket.
- CVE-2015-0235