• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость в GNU C Library

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
eglibc-source (any) glibc-doc (any) libc6 (any) libc6-amd64 (any) libc6-dbg (any) libc6-dev (any) libc6-dev-amd64 (any) libc6-dev-i386 (any) libc6-i386 (any) libc6-i686 (any) libc6-pic (any) libc6-prof (any) libc6-xen (any) libc-bin (any) libc-dev-bin (any) locales (any) locales-all (any) multiarch-support (any) nscd (any)
Описание
Уязвимости существуют в GNU C Library, eglibc.


CVE-2014-8121
Уязвимость в базе данных nss_files, связанная с некорректной реализацией перечисления, чередующегося с поиском на основе имени или идентификатора, позволяет вызвать отказ в обслуживании (зацикливание).
CVE-2015-1781
Переполнение буфера, связанное с _r-вариантами функций разрешения имен узлов (например, gethostbyname_r) при разрешении имен DNS, позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код, используя невыровненный буфер.
CVE-2015-7547
Уязвимость в функции getaddrinfo в eglibc, при обработке запросов AF_UNSPEC (для сдвоенного поиска A/AAAA), позволяет вызвать переполнение буфера в стеке и выполнить произвольный код.
CVE-2015-8776
Уязвимость в функции strftime, связанная с обработкой недопустимых значений времени, может привести к аварийному завершению работы или утечке данных.
CVE-2015-8777
Уязвимость в eglibc, связанная с переменной окружения LD_POINTER_GUARD для SUID-программ, позволяет обойти ограничения безопасности.
CVE-2015-8778
Уязвимость в функциях hcreate и hcreate_r, связанная с некорректной проверкой аргумента размера, позволяет вызвать отказ в обслуживании (аварийное завершение работы).
CVE-2015-8779
Переполнение стека в функции catopen позволяет вызвать отказ в обслуживании.

После установки обновлений рекомендуется перезагрузить систему.

Для предыдущего стабильного дистрибутива (wheezy) уязвимости устранены в версии 2.13-38+deb7u10.
Рекомендуется обновить пакеты eglibc.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 7:
для всех архитектур:
eglibc - 2.13-38+deb7u10
Ссылки
http://www.debian.org/security/dsa-3480/

Источник: CVE
Наименование: CVE-2015-8779
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8779

Источник: CVE
Наименование: CVE-2015-8778
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8778

Источник: CVE
Наименование: CVE-2015-7547
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547

Источник: CVE
Наименование: CVE-2014-8121
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8121

Источник: CVE
Наименование: CVE-2015-1781
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1781

Источник: CVE
Наименование: CVE-2015-8777
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8777

Источник: CVE
Наименование: CVE-2015-8776
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8776