GLSA-201602-02：GNU C ライブラリ：複数の脆弱性

critical Nessus プラグイン ID 88822

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストが GLSA-201602-02 で説明されている脆弱性の影響を受けます（GNU C ライブラリ：複数の脆弱性）

GNU C ライブラリに複数の脆弱性が発見されました。
Google Security Team および Red Hat では、getaddrinfo() が AF_UNSPEC 付きで呼び出した際のバッファの管理ミスによる、send_dg() および send_vc() 関数のスタックベースのバッファオーバーフローを発見しました（CVE-2015-7547）。
strftime() 関数は、領域外データを渡されたときに無効なメモリにアクセスし、クラッシュを起こします（CVE-2015-8776）。
__hcreate_r() 関数で整数オーバーフローが見つかりました（CVE-2015-8778）。
複数のバインドされていないスタック割り当てが、catopen() 関数で見つかりました（CVE-2015-8779）。
以前 GLSA を発行していなかった、sys-libs/glibc の以前のバージョンですでに修正されている追加の脆弱性については、下で参照されている CVE を参照してください。
影響：

リモートの攻撃者が、任意のコードを実行したり、アプリケーションをクラッシュさせたりするために、getaddrinfo() を使用してホストの名前解析を実行する何らかのアプリケーションを悪用する可能性があります。その他の脆弱性は、サービス拒否を引き起こしたり情報を漏洩するために悪用される可能性があります。
回避策：

CVE-2015-7547 のための多数の緩和要因が識別されました。
Upstream アドバイザリおよび下記の参照物を参照してください。

ソリューション

GNU C ライブラリの全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-libs/glibc-2.21-r2'古い glibc を使用する実行中のプロセスがもはやないことを確認することが重要です。これを達成するために最も簡単な方法は、sys-libs/glibc パッケージを更新してからマシンを再起動することです。
注：更新中にコンパイル失敗が発生した場合は、バグ 574948 を参照してください。