Debian セキュリティ勧告
DSA-2976-1 eglibc -- セキュリティ更新
- 報告日時:
- 2014-07-10
- 影響を受けるパッケージ:
- eglibc
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-0475.
- 詳細:
-
Stephane Chazelas さんが、GNU C ライブラリ glibc がロケールに関連する環境変数のパスの
..
の部分を処理してしまうことを発見しました。 潜在的には攻撃者が細工したロケール設定を提供できるものと仮定して、 OpenSSH の ForceCommand 等の意図した制限の迂回を攻撃者に許します。安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.13-38+deb7u3 で修正されています。
この更新では、元々はバージョン 2.13-38+deb7u2 として 次の wheezy ポイントリリース向けを予定していた変更も収録しています。 詳細については Debian の変更記録を見てください。
直ちに eglibc パッケージをアップグレードすることを勧めます。