GLSA-201602-02:GNU C 库:多种漏洞

critical Nessus 插件 ID 88822

简介

远程 Gentoo 主机缺少一个或多个与安全有关的修补程序。

描述

远程主机受到 GLSA-201602-02 中所述漏洞的影响(GNU C 库:多种漏洞)

在 GNU C 库中发现多个漏洞:
Google 安全团队和 Red Hat 发现,send_dg() 和 send_vc() 函数中存在一个基于堆栈的缓冲区溢出,这是因为以 AF_UNSPEC 调用 getaddrinfo() 时缓冲区不当管理所导致 (CVE-2015-7547)。
传递超出范围的数据时 strftime() 函数访问无效内存,导致崩溃 (CVE-2015-8776)。
在 __hcreate_r() 函数中发现一个整数溢出 (CVE-2015-8778)。
在 catopen() 函数中发现多个不受限制的堆栈分配 (CVE-2015-8779)。
请参阅下列所述 CVE,了解已在旧版 sys-libs/glibc(以前未针对其发布 GLSA)中修复的其他漏洞。
影响:

远程攻击者可利用使用 getaddrinfo() 执行主机名解析的任何应用程序执行任意代码或导致应用程序崩溃。其他漏洞可能被利用,造成拒绝服务或泄漏信息。
变通方案:

已发现多个可降低 CVE-2015-7547 风险的因素。
请参阅下面的上游公告和参考。

解决方案

所有 GNU C 库用户皆应升级到最新版本:
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-libs/glibc-2.21-r2' 请务必确保没有任何运行中的进程在使用旧版 glibc。要确保这一点,最简单的方式就是更新 sys-libs/glibc 程序包后重新启动机器。
请注意:更新时若发生编译错误,请参阅缺陷 574948。

另见

http://www.nessus.org/u?1358552a

https://security.gentoo.org/glsa/201602-02

https://www.tenable.com/security/research/tra-2017-08

插件详情

严重性: Critical

ID: 88822

文件名: gentoo_GLSA-201602-02.nasl

版本: 2.17

类型: local

发布时间: 2016/2/18

最近更新时间: 2021/1/11

支持的传感器: Nessus

风险信息

VPR

风险因素: Critical

分数: 9.0

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:gentoo:linux:glibc, cpe:/o:gentoo:linux

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/2/17

参考资料信息

CVE: CVE-2013-7423, CVE-2014-0475, CVE-2014-5119, CVE-2014-6040, CVE-2014-7817, CVE-2014-8121, CVE-2014-9402, CVE-2015-1472, CVE-2015-1781, CVE-2015-7547, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779

GLSA: 201602-02

IAVA: 2016-A-0053

TRA: TRA-2017-08