1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
|
#use wml::debian::translation-check translation="618b8b6e1c6183af91f6da884e6ed7f0f1cd7bfb" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В библиотеке GNU C, glibc, было обнаружено несколько уязвимостей.</p>
<p>Первая уязвимость, указанная ниже, считается
критической.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a>
<p>Члены Команды безопасности Google и сотрудники Red Hat обнаружили, что функция
разрешения имён узлов eglibc, getaddrinfo, при обработке
запросов AF_UNSPEC (для двойного поиска A/AAAA) может неправильно использовать
свои внутренние буферы, что приводит к переполнению буфера и
выполнению произвольного кода. Данная уязвимость касается большинства
приложений, выполняющих разрешение имён узлов с помощью getaddrinfo,
включая системные службы.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776">CVE-2015-8776</a>
<p>Адам Нильсен обнаружил, что если неправильно разделённое значение, обозначающее время,
передаётся strftime, то функция strftime может аварийно завершить работу, либо может произойти
утечка информации. Приложения обычно передают только корректную информацию
о времени функции strftime; подверженные данной проблеме приложения не известны.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778">CVE-2015-8778</a>
<p>Сабольч Наги сообщил, что редко используемые функции hcreate и hcreate_r
неправильно выполняют проверку размера аргумента, что приводит к
аварийной остановке (отказ в обслуживании) в случае использования определённых аргументов. Пока
ничего не известно о приложениях, подверженных данной проблеме.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779">CVE-2015-8779</a>
<p>Функция catopen содержит несколько неограниченных выделений стэка
(переполнение стэка), что приводит к аварийной остановке процесса (отказ в
обслуживании). Пока ничего не известно о приложениях, подверженных
данной проблеме.</p></li>
</ul>
<p>Хотя требуется лишь убедиться, что ни один процесс более не использует
старую библиотеку glibc, рекомендуется перезагрузить машины после
применения данного обновление безопасности.</p>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.19-18+deb8u3.</p>
<p>В нестабильном выпуске (sid) эти проблемы будут исправлены в
версии 2.21-8.</p>
<p>Рекомендуется обновить пакеты glibc.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3481.data"
# $Id$
|