-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 -------------------------------------------------------------------------- Turbolinux Security Advisory TLSA-2016-7 http://www.turbolinux.co.jp/security/ security-team@turbolinux.co.jp -------------------------------------------------------------------------- アナウンス日 : 2016/02/29 最終更新日 : 2016/02/29 パッケージ名 : glibc タイトル : glibc に複数の脆弱性 概要 : このパッケージには gnu 標準 C ライブラリが含まれています。 標準 C ライブラリはシステムのほぼ全てのアプリケーションが 使用するライブラリです。 glibc に複数の脆弱性が存在します。 影響 : strftime 関数の不具合で、この関数に不正な時間値が渡されると strftime 関数が クラッシュする脆弱性が存在します。 第三者がこの脆弱性を利用して strftime 関数がクラッシュされる可能性があります (CVE-2015-8776)。 elf/rtld.c の process_envvars 関数の不具合で、ポインタガード(pointer-guarding) の保護メカニズムを回避される脆弱性が存在します。 第三者がこの脆弱性を利用して LD_POINTER_GUARD 環境変数のゼロ値を使用すると ポインタガードの保護メカニズムが回避される可能性があります(CVE-2015-8777)。 hcreate 及び hcreate_r 関数の不具合で、サイズチェック漏れの脆弱性が存在します。 第三者がこの脆弱性を利用して DoS 状態にされる可能性があります(CVE-2015-8778)。 catopen 関数の不具合で、Stack Overflow を引き起こす脆弱性が存在します。 第三者がこの脆弱性を利用して DoS 状態にされる可能性があります(CVE-2015-8779)。 ※【glibc の重大なバッファオーバーフロー脆弱性 CVE-2015-7547 について】 glibc の脆弱性 CVE-2015-7547 は、弊社製品に影響はありません。 影響製品 : - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス) - Turbolinux Appliance Server 3.0 (延長メンテナンス) - Turbolinux 11 Server x64 Edition (延長メンテナンス) - Turbolinux 11 Server (延長メンテナンス) - Turbolinux Appliance Server 2.0 (延長メンテナンス) 対策方法 : 下記パッケージにアップデートを行って下さい。 [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合] アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし Turbo プラス を起動し行って下さい。 [Turbolinux Appliance Server の場合] アップデートは、 TLAS Server Desktop 上から行って下さい。 コンソールから実行する場合 ---------------------------------------- [Turbolinux 11 Serverr の場合] # turbo+ --cui もしくは、 # turbo+ -u glibc glibc-devel nscd ---------------------------------------- <Turbolinux Appliance Server 3.0 x64 Edition> Source Packages Size: MD5 glibc-2.6.1-6.src.rpm 27119651 8b09bb0c7b69459afacd560cb46bb26c Binary Packages Size: MD5 glibc-2.6.1-6.x86_64.rpm 42672143 519d042427744a2cf599772de22a5099 glibc-devel-2.6.1-6.x86_64.rpm 4192386 cb0766e2ff4f7d2c35870849bef2469d nscd-2.6.1-6.x86_64.rpm 70409 c59d36564d17b75f148d767c53b3d569 <Turbolinux Appliance Server 3.0> Source Packages Size: MD5 glibc-2.6.1-6.src.rpm 27119651 8b09bb0c7b69459afacd560cb46bb26c Binary Packages Size: MD5 glibc-2.6.1-6.i686.rpm 42063394 772f9123504a8ab7ccd98b417a6aa9de glibc-devel-2.6.1-6.i686.rpm 3659819 e6f4a071d8123ece38498bc6a02168ef nscd-2.6.1-6.i686.rpm 68636 042cd5f8a9ea415135311287e1b74c21 <Turbolinux 11 Server x64 Edition> Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/glibc-2.6.1-6.src.rpm 27029307 6a872dc674dc9982b9712a5af6351012 Binary Packages Size: MD5 glibc-2.6.1-6.x86_64.rpm 42672143 d541c6e61ddd718fc171addc956a87f2 glibc-devel-2.6.1-6.x86_64.rpm 4192386 049f9214e556de5464acb7b7df4e5e51 nscd-2.6.1-6.x86_64.rpm 70409 8e814a8b1dab2a8b568df3b6d0797a14 <Turbolinux 11 Server> Source Packages Size: MD5 ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/glibc-2.6.1-6.src.rpm 27119651 2fba88b5a9a1a97f3e39013201282768 Binary Packages Size: MD5 glibc-2.6.1-6.i686.rpm 42063394 ceec148034349978b0af41f063b11c6d glibc-devel-2.6.1-6.i686.rpm 3659819 7fdb1a1ad453b5055762f032b79552ba nscd-2.6.1-6.i686.rpm 68636 35978d4d2dd51c5413099f3fddf43b96 <Turbolinux Appliance Server 2.0> Source Packages Size: MD5 glibc-2.3.3-14.src.rpm 21020138 f8a573cb280be19594105f3ecd77de6f Binary Packages Size: MD5 glibc-2.3.3-14.i586.rpm 17838390 b56dabfc3af1378cd53ceb0ea298a17b glibc-devel-2.3.3-14.i586.rpm 4176091 2fa9c62f9274d1158b5bc7517b007f87 nscd-2.3.3-14.i586.rpm 38858 330743c0aba0f483fea401adf617bbfc 関連文章 : CVE [CVE-2015-7547] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547 [CVE-2015-8776] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8776 [CVE-2015-8777] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8777 [CVE-2015-8778] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8778 [CVE-2015-8779] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8779 -------------------------------------------------------------------------- 更新履歴 初版 2016/02/29 -------------------------------------------------------------------------- Copyright(C) 2016 Turbolinux, Inc. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iEYEARECAAYFAlbTn6AACgkQK0LzjOqIJMxzbwCdFPxDNBoHaBFzjUQp7izQJRgk BPUAoLPdX7CTfL2SrVdXKSrR7aF9Fsr/ =nC4j -----END PGP SIGNATURE-----