Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2976-1 eglibc

Bulletin d'alerte Debian

DSA-2976-1 eglibc -- Mise à jour de sécurité

Date du rapport :

10 juillet 2014

Paquets concernés :

eglibc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0475.

Plus de précisions :

Stéphane Chazelas a découvert que la bibliothèque C de GNU (GNU C Library ou glibc) traitait les segments de chemin « .. » dans des variables d'environnement liées aux paramètres linguistiques (« locale »), permettant éventuellement à des attaquants de contourner les restrictions voulues, telles que ForceCommand dans OpenSSH, en supposant qu'ils peuvent fournir des configurations de paramètres linguistiques contrefaites.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.13-38+deb7u3.

Cette mise à jour contient aussi des modifications précédemment programmées pour la prochaine version intermédiaire de Wheezy en tant que version 2.13-38+deb7u2. Consultez la liste des changements de Debian pour plus de détails.

Nous vous recommandons de mettre à jour vos paquets eglibc.