Boletines de Vulnerabilidades

int(5331)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en librería C GNU (glibc)
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Obtener acceso
Dificultad	Experto
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	glibc eglibc
Descripción
Se han descubierto múltiples vulnerabilidades en la librería C GNU glibc. Las vulnerabilidades son descritas a continuación: - CVE-2008-1391: Se ha descubierto una vulnerabilidad de tipo desbordamiento de entero. La vulnerabilidad reside en un error en "lib/libc/stdlib/strfmon.c". Un atacante remoto podría ejecutar código arbitrario mediante el uso de valores muy grandes en ciertos campos de enteros. - CVE-2009-4880: La vulnerabilidad reside en un error en la implementación "strfmon" de glibc 2.10.1 y anteriores. Un atacante remoto podría causar una denegación de servicio mediante un formato de cadena especialmente manipulado, en la función "money_format" en PHP. - CVE-2009-4881: La vulnerabilidad reside en un error en la función "__vstrfmon_l" de "stdlib/strfmon_l.c" en la implementación "strfmon" de glibc 2.10.1. Un atacante remoto podría causar una denegación de servicio mediante un formato de cadena especialmente manipulado, como %99999999999999999999n. - CVE-2010-0296: La vulnerabilidad reside en un error en la macro "encode_name" dentro de "misc/mntent_r.c" perteneciente a glibc 2.11.1. Cuando es usada por "ncpmount" y "mount.cifs", no maneja adecuadamente caracteres de salto de línea. Un atacante remoto podría causar una denegación de servicio o escalada de privilegios mediante métodos no especificados. - CVE-2010-0296: La vulnerabilidad reside en un error en la función "elf_get_dynamic_info" de "elf/dynamic-link.h" perteneciente a glibc 2.0.1 a 2.11.1. Cuando se utiliza la opción --verify , un atacante remoto podría ejecutar código arbitrario mediante un programa ELF con un valor negativo de la estructura "d_tag" de una cabecera ELF.
Solución
Actualización de software Debian (DSA-2058-1) Debian Linux 5.0 Source http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7-18lenny4.diff.gz http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7.orig.tar.gz http://security.debian.org/pool/updates/main/g/glibc/glibc_2.7-18lenny4.dsc independent packages: http://security.debian.org/pool/updates/main/g/glibc/glibc-source_2.7-18lenny4_all.deb http://security.debian.org/pool/updates/main/g/glibc/locales_2.7-18lenny4_all.deb http://security.debian.org/pool/updates/main/g/glibc/glibc-doc_2.7-18lenny4_all.deb alpha (DEC Alpha) http://security.debian.org/pool/updates/main/g/glibc/libc6.1-pic_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dbg_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_alpha.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dev_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_alpha.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6.1_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-prof_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-alphaev67_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_alpha.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-udeb_2.7-18lenny4_alpha.udeb amd64 (AMD x86_64 (AMD64)) http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-i386_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-i386_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_amd64.udeb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_amd64.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_amd64.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_amd64.udeb arm (ARM) http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_arm.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_arm.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_arm.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_arm.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_arm.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_arm.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_arm.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_arm.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_arm.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_arm.deb armel (ARM EABI) http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_armel.udeb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_armel.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_armel.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_armel.udeb hppa (HP PA RISC) http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_hppa.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_hppa.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_hppa.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_hppa.udeb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_hppa.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_hppa.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_hppa.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_hppa.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_hppa.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_hppa.deb i386 (Intel ia32) http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_i386.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_i386.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-i686_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-xen_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-amd64_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-amd64_2.7-18lenny4_i386.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_i386.udeb ia64 (Intel ia64) http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_ia64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-udeb_2.7-18lenny4_ia64.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6.1_2.7-18lenny4_ia64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dbg_2.7-18lenny4_ia64.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_ia64.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-dev_2.7-18lenny4_ia64.deb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-prof_2.7-18lenny4_ia64.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_ia64.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_ia64.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6.1-pic_2.7-18lenny4_ia64.deb mips (MIPS (Big Endian)) http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_mips.udeb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_mips.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mips64_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-mipsn32_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-mips64_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mipsn32_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_mips.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_mips.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_mips.deb mipsel (MIPS (Little Endian)) http://security.debian.org/pool/updates/main/g/glibc/libc6-mips64_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_mipsel.udeb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_mipsel.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mips64_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-mipsn32_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_mipsel.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-mipsn32_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_mipsel.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_mipsel.deb powerpc (PowerPC) http://security.debian.org/pool/updates/main/g/glibc/libc6-ppc64_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_powerpc.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_powerpc.udeb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-ppc64_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_powerpc.udeb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_powerpc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_powerpc.deb s390 (IBM S/390) http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-s390x_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_s390.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_s390.udeb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_s390.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-s390x_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_s390.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_s390.deb sparc (Sun SPARC/UltraSPARC) http://security.debian.org/pool/updates/main/g/glibc/libc6-sparc64_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/nscd_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-files-udeb_2.7-18lenny4_sparc.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-udeb_2.7-18lenny4_sparc.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-pic_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dev-sparc64_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-dbg_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libnss-dns-udeb_2.7-18lenny4_sparc.udeb http://security.debian.org/pool/updates/main/g/glibc/libc6-prof_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/locales-all_2.7-18lenny4_sparc.deb http://security.debian.org/pool/updates/main/g/glibc/libc6-sparcv9b_2.7-18lenny4_sparc.deb Red Hat (RHSA-2011:0412-01) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) https://rhn.redhat.com/
Identificadores estándar
Propiedad	Valor
CVE	CVE-2008-1391 CVE-2009-4880 CVE-2009-4881 CVE-2010-0296 CVE-2010-0830
BID	28479 36443 40063
Recursos adicionales
Debian Security Advisory (DSA-2058-1) http://lists.debian.org/debian-security-announce/2010/msg00101.html Red Hat Security Advisory (RHSA-2011:0412-01) https://rhn.redhat.com/errata/RHSA-2011-0412.html

Histórico de versiones
Versión	Comentario	Fecha
1.0	Aviso emitido	2010-06-10
1.1	Aviso emitido por Red Hat (RHSA-2011:0412-01)	2011-04-06

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en librería C GNU (glibc)

Clasificación de la vulnerabilidad

Información sobre el sistema

Descripción

Solución

Identificadores estándar

Recursos adicionales

Histórico de versiones