Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
eglibc-source
(any)
glibc-doc
(any)
libc6
(any)
libc6-amd64
(any)
libc6-dbg
(any)
libc6-dev
(any)
libc6-dev-amd64
(any)
libc6-dev-i386
(any)
libc6-i386
(any)
libc6-i686
(any)
libc6-pic
(any)
libc6-prof
(any)
libc6-xen
(any)
libc-bin
(any)
libc-dev-bin
(any)
locales
(any)
locales-all
(any)
multiarch-support
(any)
nscd
(any)
Описание
Уязвимости существуют в GNU C Library, eglibc.
CVE-2014-8121
Уязвимость в базе данных nss_files, связанная с некорректной реализацией перечисления, чередующегося с поиском на основе имени или идентификатора, позволяет вызвать отказ в обслуживании (зацикливание).
CVE-2015-1781
Переполнение буфера, связанное с _r-вариантами функций разрешения имен узлов (например, gethostbyname_r) при разрешении имен DNS, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код, используя невыровненный буфер.
CVE-2015-7547
Уязвимость в функции getaddrinfo в eglibc, при обработке запросов AF_UNSPEC (для сдвоенного поиска A/AAAA), позволяет вызвать переполнение буфера в стеке и выполнить произвольный код.
CVE-2015-8776
Уязвимость в функции strftime, связанная с обработкой недопустимых значений времени, может привести к аварийному завершению работы или утечке данных.
CVE-2015-8777
Уязвимость в eglibc, связанная с переменной окружения LD_POINTER_GUARD для SUID-программ, позволяет обойти ограничения безопасности.
CVE-2015-8778
Уязвимость в функциях hcreate и hcreate_r, связанная с некорректной проверкой аргумента размера, позволяет вызвать отказ в обслуживании (аварийное завершение работы).
CVE-2015-8779
Переполнение стека в функции catopen позволяет вызвать отказ в обслуживании.
После установки обновлений рекомендуется перезагрузить систему.
Для предыдущего стабильного дистрибутива (wheezy) уязвимости устранены в версии 2.13-38+deb7u10.
Рекомендуется обновить пакеты eglibc.
CVE-2014-8121
Уязвимость в базе данных nss_files, связанная с некорректной реализацией перечисления, чередующегося с поиском на основе имени или идентификатора, позволяет вызвать отказ в обслуживании (зацикливание).
CVE-2015-1781
Переполнение буфера, связанное с _r-вариантами функций разрешения имен узлов (например, gethostbyname_r) при разрешении имен DNS, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код, используя невыровненный буфер.
CVE-2015-7547
Уязвимость в функции getaddrinfo в eglibc, при обработке запросов AF_UNSPEC (для сдвоенного поиска A/AAAA), позволяет вызвать переполнение буфера в стеке и выполнить произвольный код.
CVE-2015-8776
Уязвимость в функции strftime, связанная с обработкой недопустимых значений времени, может привести к аварийному завершению работы или утечке данных.
CVE-2015-8777
Уязвимость в eglibc, связанная с переменной окружения LD_POINTER_GUARD для SUID-программ, позволяет обойти ограничения безопасности.
CVE-2015-8778
Уязвимость в функциях hcreate и hcreate_r, связанная с некорректной проверкой аргумента размера, позволяет вызвать отказ в обслуживании (аварийное завершение работы).
CVE-2015-8779
Переполнение стека в функции catopen позволяет вызвать отказ в обслуживании.
После установки обновлений рекомендуется перезагрузить систему.
Для предыдущего стабильного дистрибутива (wheezy) уязвимости устранены в версии 2.13-38+deb7u10.
Рекомендуется обновить пакеты eglibc.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 7:
для всех архитектур:
eglibc - 2.13-38+deb7u10
Debian GNU/Linux 7:
для всех архитектур:
eglibc - 2.13-38+deb7u10
Ссылки
http://www.debian.org/security/dsa-3480/
Источник: CVE
Наименование: CVE-2015-8779
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8779
Источник: CVE
Наименование: CVE-2015-8778
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8778
Источник: CVE
Наименование: CVE-2015-7547
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
Источник: CVE
Наименование: CVE-2014-8121
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8121
Источник: CVE
Наименование: CVE-2015-1781
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1781
Источник: CVE
Наименование: CVE-2015-8777
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8777
Источник: CVE
Наименование: CVE-2015-8776
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8776
Источник: CVE
Наименование: CVE-2015-8779
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8779
Источник: CVE
Наименование: CVE-2015-8778
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8778
Источник: CVE
Наименование: CVE-2015-7547
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
Источник: CVE
Наименование: CVE-2014-8121
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8121
Источник: CVE
Наименование: CVE-2015-1781
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1781
Источник: CVE
Наименование: CVE-2015-8777
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8777
Источник: CVE
Наименование: CVE-2015-8776
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8776