-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
--------------------------------------------------------------------------
Turbolinux Security Advisory TLSA-2016-7
http://www.turbolinux.co.jp/security/
security-team@turbolinux.co.jp
--------------------------------------------------------------------------
アナウンス日 : 2016/02/29
最終更新日 : 2016/02/29
パッケージ名 : glibc
タイトル : glibc に複数の脆弱性
概要 : このパッケージには gnu 標準 C ライブラリが含まれています。
標準 C ライブラリはシステムのほぼ全てのアプリケーションが
使用するライブラリです。
glibc に複数の脆弱性が存在します。
影響 : strftime 関数の不具合で、この関数に不正な時間値が渡されると strftime 関数が
クラッシュする脆弱性が存在します。
第三者がこの脆弱性を利用して strftime 関数がクラッシュされる可能性があります
(CVE-2015-8776)。
elf/rtld.c の process_envvars 関数の不具合で、ポインタガード(pointer-guarding)
の保護メカニズムを回避される脆弱性が存在します。
第三者がこの脆弱性を利用して LD_POINTER_GUARD 環境変数のゼロ値を使用すると
ポインタガードの保護メカニズムが回避される可能性があります(CVE-2015-8777)。
hcreate 及び hcreate_r 関数の不具合で、サイズチェック漏れの脆弱性が存在します。
第三者がこの脆弱性を利用して DoS 状態にされる可能性があります(CVE-2015-8778)。
catopen 関数の不具合で、Stack Overflow を引き起こす脆弱性が存在します。
第三者がこの脆弱性を利用して DoS 状態にされる可能性があります(CVE-2015-8779)。
※【glibc の重大なバッファオーバーフロー脆弱性 CVE-2015-7547 について】
glibc の脆弱性 CVE-2015-7547 は、弊社製品に影響はありません。
影響製品 :
- Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
- Turbolinux Appliance Server 3.0 (延長メンテナンス)
- Turbolinux 11 Server x64 Edition (延長メンテナンス)
- Turbolinux 11 Server (延長メンテナンス)
- Turbolinux Appliance Server 2.0 (延長メンテナンス)
対策方法 : 下記パッケージにアップデートを行って下さい。
[Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
Turbo プラス を起動し行って下さい。
[Turbolinux Appliance Server の場合]
アップデートは、 TLAS Server Desktop 上から行って下さい。
コンソールから実行する場合
----------------------------------------
[Turbolinux 11 Serverr の場合]
# turbo+ --cui
もしくは、
# turbo+ -u glibc glibc-devel nscd
----------------------------------------
<Turbolinux Appliance Server 3.0 x64 Edition>
Source Packages
Size: MD5
glibc-2.6.1-6.src.rpm
27119651 8b09bb0c7b69459afacd560cb46bb26c
Binary Packages
Size: MD5
glibc-2.6.1-6.x86_64.rpm
42672143 519d042427744a2cf599772de22a5099
glibc-devel-2.6.1-6.x86_64.rpm
4192386 cb0766e2ff4f7d2c35870849bef2469d
nscd-2.6.1-6.x86_64.rpm
70409 c59d36564d17b75f148d767c53b3d569
<Turbolinux Appliance Server 3.0>
Source Packages
Size: MD5
glibc-2.6.1-6.src.rpm
27119651 8b09bb0c7b69459afacd560cb46bb26c
Binary Packages
Size: MD5
glibc-2.6.1-6.i686.rpm
42063394 772f9123504a8ab7ccd98b417a6aa9de
glibc-devel-2.6.1-6.i686.rpm
3659819 e6f4a071d8123ece38498bc6a02168ef
nscd-2.6.1-6.i686.rpm
68636 042cd5f8a9ea415135311287e1b74c21
<Turbolinux 11 Server x64 Edition>
Source Packages
Size: MD5
ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/glibc-2.6.1-6.src.rpm
27029307 6a872dc674dc9982b9712a5af6351012
Binary Packages
Size: MD5
glibc-2.6.1-6.x86_64.rpm
42672143 d541c6e61ddd718fc171addc956a87f2
glibc-devel-2.6.1-6.x86_64.rpm
4192386 049f9214e556de5464acb7b7df4e5e51
nscd-2.6.1-6.x86_64.rpm
70409 8e814a8b1dab2a8b568df3b6d0797a14
<Turbolinux 11 Server>
Source Packages
Size: MD5
ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/glibc-2.6.1-6.src.rpm
27119651 2fba88b5a9a1a97f3e39013201282768
Binary Packages
Size: MD5
glibc-2.6.1-6.i686.rpm
42063394 ceec148034349978b0af41f063b11c6d
glibc-devel-2.6.1-6.i686.rpm
3659819 7fdb1a1ad453b5055762f032b79552ba
nscd-2.6.1-6.i686.rpm
68636 35978d4d2dd51c5413099f3fddf43b96
<Turbolinux Appliance Server 2.0>
Source Packages
Size: MD5
glibc-2.3.3-14.src.rpm
21020138 f8a573cb280be19594105f3ecd77de6f
Binary Packages
Size: MD5
glibc-2.3.3-14.i586.rpm
17838390 b56dabfc3af1378cd53ceb0ea298a17b
glibc-devel-2.3.3-14.i586.rpm
4176091 2fa9c62f9274d1158b5bc7517b007f87
nscd-2.3.3-14.i586.rpm
38858 330743c0aba0f483fea401adf617bbfc
関連文章 :
CVE
[CVE-2015-7547]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
[CVE-2015-8776]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8776
[CVE-2015-8777]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8777
[CVE-2015-8778]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8778
[CVE-2015-8779]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8779
--------------------------------------------------------------------------
更新履歴
初版 2016/02/29
--------------------------------------------------------------------------
Copyright(C) 2016 Turbolinux, Inc. All rights reserved.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
iEYEARECAAYFAlbTn6AACgkQK0LzjOqIJMxzbwCdFPxDNBoHaBFzjUQp7izQJRgk
BPUAoLPdX7CTfL2SrVdXKSrR7aF9Fsr/
=nC4j
-----END PGP SIGNATURE-----