1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
|
#use wml::debian::translation-check translation="fe7e0607ee997c793c503d52ac1696cdde1b76ac" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder er rettet i eglibc, Debians version af GNU
C-biblioteket:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3406">CVE-2012-3406</a>
<p>Funktionen vfprintf i stdio-common/vfprintf.c i GNU C-biblioteket (alias
glibc) 2.5, 2.12 og måske andre versioner, begrænsede ikke på korrekt vis
brugen af alloca-funktionen, når SPECS-array'et blev allokeret, hvilket
gjorde det muligt for kontekstafhængige angribere at omgå
FORTIFY_SOURCE-mekanismen til formatstrengsbeskyttelse og dermed forårsage
et lammelsesangreb (nedbrud) eller muligvis udføre vilkårlig kode ved hjælp
af fabrikerede formatstrenge med brug af positionsparametre og et stort
antal formatmarkører; det er en anden sårbarhed end
<a href="https://security-tracker.debian.org/tracker/CVE-2012-3404">\
CVE-2012-3404</a> og
<a href="https://security-tracker.debian.org/tracker/CVE-2012-3405">\
CVE-2012-3405</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7424">CVE-2013-7424</a>
<p>En ugyldig frigivelse-fejl blev fundet i glibc's funktion getaddrinfo(),
når den anvendes med flaget AI_IDN. En fjernangriber med mulighed for at
foretage et applikationskald til funktionen, kunne udnytte fejlen til at
udføre vilkårlig kode med rettighederne hørende til brugeren, der kører
applikationen. Bemærk at fejlen kun påvirker applikationer, som anvender
glibc kompileret med understøttelse af libidn.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4043">CVE-2014-4043</a>
<p>Funktionen posix_spawn_file_actions_addopen i glibc før version 2.20
kopierer ikke sit stiparameter i overensstemmelse med POSIX-specifikationen,
hvilket gjorde det muligt for kontekstafhængige angribere at udløse
sårbarheder i forbindelse med anvendelse efter frigivelse.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9402">CVE-2014-9402</a>
<p>Funktionen getnetbyname i glibc 2.21 eller tidligere gik i en uendelig
løkke, hvis DNS-backend'en er aktiveret i systemopsætningen af Name Service
Switch, og DNS-resolveren modtager et positivt svar mens netværksnavnet
behandles.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1472">CVE-2015-1472</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1473">CVE-2015-1473</a>
<p>Under visse omstændigheder allokerede wscanf for lidt hukommelse til
parameteret to-be-scanned, hvilket fik den allokerede buffer til at løbe
over. Ukorrekt anvendelse af <q>__libc_use_alloca (newsize)</q>, medførte
en anden (og svagere) policy blev håndhævet, hvilket kunne muliggøre
lammelsesangreb (denial of service).</p></li>
</ul>
<p>I den stabile distribution (wheezy), er disse problemer rettet i version
2.13-38+deb7u8 af eglibc-pakken.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i version
2.19-15 af glibc-pakken.</p>
<p>Vi anbefaler at du opgraderer dine eglibc-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3169.data"
|
