Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3480-1 eglibc

Bulletin d'alerte Debian

DSA-3480-1 eglibc -- Mise à jour de sécurité

Date du rapport :

16 février 2016

Paquets concernés :

eglibc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 779587, Bogue 796105, Bogue 798316, Bogue 801691, Bogue 803927, Bogue 812441, Bogue 812445, Bogue 812455.
Dans le dictionnaire CVE du Mitre : CVE-2014-8121, CVE-2015-1781, CVE-2015-7547, CVE-2015-8776, CVE-2015-8777, CVE-2015-8778, CVE-2015-8779.

Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans eglibc, la bibliothèque C de GNU.

L'impact de la vulnérabilité CVE-2015-7547 listée ci-dessous est considéré comme critique.

• CVE-2014-8121

  Robin Hack a découvert que la base de données nss_files n'implémentait pas correctement l'énumération insérée avec les recherches basées sur les noms ou les ID. Cela pourrait faire entrer l'énumération dans une boucle infinie et mener à un déni de service.

• CVE-2015-1781

  Arjun Shankar a découvert que les variantes _r des fonctions de résolution de noms d'hôte (comme gethostbyname_r), lors de la résolution de noms DNS, souffraient d'un dépassement de tampon si un tampon mal aligné était fourni par les applications, menant à un plantage ou, éventuellement, à l'exécution de code arbitraire. La plupart des applications ne sont pas affectées par cette vulnérabilité car elles utilisent des tampons alignés.

• CVE-2015-7547

  L'équipe de sécurité de Google et Red Hat ont découvert que la fonction eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer ses tampons internes, menant à un dépassement de pile et à l'exécution de code arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant la résolution de noms d'hôte avec getaddrinfo, dont les services système.

• CVE-2015-8776

  Adam Nielsen a découvert que si une valeur séparée de temps non valable était passée à strftime, alors la fonction strftime pourrait planter ou divulguer des informations. Les applications ne donnent normalement que des informations de temps valables à strftime ; aucune application connue n'est affectée.

• CVE-2015-8777

  Hector Marco-Gisbert a signalé que LD_POINTER_GUARD n'était pas ignoré pour les programmes SUID, ce qui permet un contournement imprévu d'une fonctionnalité de sécurité. Cette mise à jour fait qu'eglibc ignore toujours la variable d'environnement LD_POINTER_GUARD.

• CVE-2015-8778

  Szabolcs Nagy a signalé que les fonctions rarement utilisées hcreate et hcreate_r ne vérifiaient pas correctement l'argument de taille, menant à un plantage (déni de service) pour certains arguments. Aucune application affectée n'est connue à l'heure actuelle.

• CVE-2015-8779

  La fonction catopen contient plusieurs allocations de pile non liées (dépassements), provoquant un plantage du processus (déni de service). Aucune application pour laquelle ce problème a un impact de sécurité n'est actuellement connue.

Les vulnérabilités suivantes ont été corrigées mais n'ont pas encore d'identifiant CVE :

• Joseph Myers a signalé qu'un dépassement d'entier dans la fonction strxfrm peut conduire à un dépassement de tampon basé sur le tas, permettant éventuellement l'exécution de code arbitraire. De plus, un chemin de secours dans strxfrm utilise une allocation de pile non liée (dépassement de pile), menant à un plantage ou à un comportement erroné de l'application.

• Kostya Serebryany a signalé que la fonction fnmatch pourrait ignorer le caractère NUL de fin d'un motif mal formé, causant un plantage dans une application appelant fnmatch (déni de service).

• Joseph Myers a signalé que la fonction IO_wstr_overflow, utilisée en interne par les flux de caractères wide-oriented, souffrait d'un dépassement d'entier, menant à un dépassement de tas. Sur les systèmes GNU/Linux, les flux de caractères wide-oriented sont rarement utilisés et aucune application affectée n'est connue.

• Andreas Schwab a signalé une fuite de mémoire (allocation de mémoire sans libération correspondante) lors du traitement de certaines réponses DNS dans getaddrinfo, lié à la fonction _nss_dns_gethostbyname4_r. Cette vulnérabilité pourrait conduire à un déni de service.

Bien qu'il soit seulement nécessaire d’être sûr que plus aucun processus n'utilise l'ancienne eglibc, il est recommandé de redémarrer les machines après l'application de la mise à niveau de sécurité.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.13-38+deb7u10.

Nous vous recommandons de mettre à jour vos paquets eglibc.