Vulnérabilité critique (CVE-2015-7547) dans la bibliothèque GNU C Library (glibc) touchant Linux

CVE-2015-7547 est une vulnérabilité critique dans la bibliothèque GNU C Library (glibc) qui a été signalée par l’équipe de sécurité de Google et Red Hat. 

Description de la vulnérabilité par Red Hat : 

La façon dont la bibliothèque libresolv exécute des requêtes DNS (A et AAAA) déclenche un dépassement de la mémoire tampon dans la pile. Un attaquant à distance peut créer une réponse DNS spécialement conçue menant au plantage (crash) de libresolv, et il pourrait exécuter du code en disposant des autorisations de l’utilisateur employant cette bibliothèque.

REMARQUE : Ce problème survient seulement lorsque libresolv est appelé par le module de service NSS nss_dns. (CVE-2015-7547)

On a découvert que la fonction calloc dans glibc pouvait retourner des zones de mémoire contenant des octets à valeur non nulle. Cela peut entraîner des comportements inattendus de la part de l’application comme des arrêts intempestifs ou des plantages. (CVE-2015-5229)

Incidence :

Cette faille peut être exploitée de diverses manières. Essentiellement, tout service ou processus faisant des requêtes DNS est une cible potentielle, et le système peut faire l’objet d’une exécution de code ou d’un contrôle total à distance. 

Distributions Linux touchées :

  • Red Hat Entreprise Linux et CentOS 6 : RHSA-2016:0175-1
  • Red Hat Entreprise Linux et CentOS 7 : RHSA-2016:0176-1
  • Debian 6 (Squeeze), 7 (Wheezy), 8 (Jessy) : (CVE-2015-7547)
  • Ubuntu 12.04 LTS, 14.04 LTS, 15.10 : USN-2900-1 

 Solution :

1. Vérifiez la version actuelle de glibc sur CentOS et Red Hat Enterprise Linux. 

Exécutez :

yum list glibc

La version figurera dans la liste sous la section « Installed Packages » dans Ubuntu et Debian.

Exécutez : 

ldd --version

 

La première ligne du résultat mentionne la version.

Voici une liste des versions corrigées :

  • Red Hat Enterprise Linux 6 et CentOS 6 : glibc-2.12-1.166.el6_7.7
  • Red Hat Enterprise Linux 7 et CentOS 7 : glibc-2.17-106.el7_2.4
  • Debian 6 (Squeeze) : eglibc 2.11.3-4+deb6u11
  • Debian 7 (Wheezy) : eglibc 2.13-38+deb7u10
  • Debian 8 (Jessie) : glibc 2.19-18+deb8u3
  • Ubuntu 12.04 LTS : libc6 2.15-0ubuntu10.13
  • Ubuntu 14.04 LTS : libc6 2.19-0ubuntu6.7
  • Ubuntu 15.10 : libc6 2.21-0ubuntu4.1

 

2. Mise à jour de glibc et réinitialisation

Sur CentOS et Red Hat Enterprise Linux

Exécutez : 

yum clean all

yum update glibc

reboot

 

Sur Ubuntu (12.04 LTS, 14.04 LTS et 15.10) 

Exécutez : 

sudo apt-get update

sudo apt-get install libc6

reboot

 

Sur Debian 6 (Squeeze) et Debian 7 (Wheezy)

Exécutez : 

sudo apt-get update

sudo apt-get install libc6

reboot

 

Sur Debian 8 (Jessie) 

Exécutez : 

sudo apt-get update

sudo apt-get install libc6

reboot

 

Vous pouvez vous inscrire à des listes d’envoi et recevoir des avis de mises à jour liées à la sécurité pour Red Hat, CentOS, Ubuntu et Debian en visitant les pages Web suivantes : 

 

Références :

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk