Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3480-1 eglibc

Debians sikkerhedsbulletin

DSA-3480-1 eglibc -- sikkerhedsopdatering

Rapporteret den:

16. feb 2016

Berørte pakker:

eglibc

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 779587, Fejl 796105, Fejl 798316, Fejl 801691, Fejl 803927, Fejl 812441, Fejl 812445, Fejl 812455.
I Mitres CVE-ordbog: CVE-2014-8121, CVE-2015-1781, CVE-2015-7547, CVE-2015-8776, CVE-2015-8777, CVE-2015-8778, CVE-2015-8779.

Yderligere oplysninger:

Adskillige sårbarheder er rettet i GNU C Library, eglibc.

Sårbarheden CVE-2015-7547, anført herunder, anses for at være kritisk.

• CVE-2014-8121

  Robin Hack opdagede at nss_files-databasen ikke på korrekt vis implementerede enumerering interleavet med navnebaserede eller ID-baserede opslag. Det kunne medføre at enumereringen gik i en uendelig løkke, førende til et lammelsesangreb (denial of service).

• CVE-2015-1781

  Arjun Shankar opdagede at _r-varienterne af funktionerne til værtsnavneopløsning (så som gethostbyname_r), ved udførelse af DNS-navneopløsning, var ramt af et bufferoverløb hvis en fejljusteret buffer blev leveret af applikationerne, førende til et nedbrud eller potentielt udførelse af vilkårlig kode. De fleste applikationer er ikke påvirket af sårbarheden, fordi de anvender justerede buffere.

• CVE-2015-7547

  Google Security Team og Red Hat opdagede at funktionen til værtsnavnresolving i eglibc, getaddrinfo, ved behandling af AF_UNSPEC-forespørgsler (til dobbelte A-/AAAA-opslag), kunne fejlhåndtere sine interne buffere, førende til et stakbaseret bufferoverløb og udførelse af vilkårlig kode. Sårbarheden påvirker de fleste applikationer, som udfører værtsnavneoplysning ved hjælp af getaddrinfo, herunder systemtjenester.

• CVE-2015-8776

  Adam Nielsen opdagede at, hvis en ugyldigt separeret tidsværdi blev overført til strftime, kunne strftime-funktionen gå ned eller lække oplysninger. Applikationer overfører normalt kun gyldige tidsoplysninger til strftime; der er ikke kendskab til påvirkede applikationer.

• CVE-2015-8777

  Hector Marco-Gisbert rapporterede at LD_POINTER_GUARD ikke blev ignoreret hvad angår SUID-programmer, hvilket muliggjorde utilsigtet omgåelse af en sikkerhedsfunktion. Opdateringen medfører at eglibc altid ignorerer miljøvariablen LD_POINTER_GUARD.

• CVE-2015-8778

  Szabolcs Nagy rapporterede at de sjældent anvendte funktioner hcreate og hcreate_r, ikke kontrollerede størrelsesparameteret på korrekt vis, førende til et nedbrud (lammelsesangreb) ved visse parametre. Der er i øjeblikket ikke kendskab til påvirkede applikationer.

• CVE-2015-8779

  Funktionen catopen indeholdt flere ikke-bundne stakallokeringer (stakoverløb), forårsagende at processen gik ned (lammelsesangreb). Der er i øjeblikket kunne kendskab til påvirkede applikationer hvad angår sikkerhed.

Følgende rettede sårbarheder mangler pt. CVE-tildeling:

• Joseph Myers rapporterede at et heltalsoverløb i strxfrm kunne føre til heapbaseret bufferoverløb, muligvis gørende det muligt at udføre vilkårlig kode. Desuden anvender en fallback-sti i strxfrm en ikke-bundet stakallokering (stakoverløb), førende til et nedbrud eller applikationer der opfører sig forkert.

• Kostya Serebryany rapporterede at funktionen fnmatch kunne springe over det afsluttende NUL-tegn i et misdannet mønster, medførende at en applikation, der kalder fnmatch, gik ned (lammelsesangreb).

• Joseph Myers rapporterede at funktionen IO_wstr_overflow, som anvendes internt af bredt orienterede tegnstrømme, var ramt af et heltalsoverløb, førende til et heapbaseret bufferoverløb. På GNU/Linux-systemer anvendes bredt orienterede tegnstrømme sjældent, og der er ikke kendskab til påvirkede applikationer.

• Andreas Schwab rapporterede om en hukommelseslækage (hukommelsesallokering uden en tilhørende afallokering), mens der behandles visse DNS-svar i getaddrinfo, relateret til funktionen _nss_dns_gethostbyname4_r. Sårbarheden kunne føre til et lammelsesangreb.

Om end det kun er nødvendigt at sikre sig, at alle processer ikke længere anvender det gamle eglibc, anbefales det at genstarte maskinen efter at have installeret sikkerhedsopdateringen.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 2.13-38+deb7u10.

Vi anbefaler at du opgraderer dine eglibc-pakker.