Numéro : AV16-031
Date : Le 18 février 2016
Objet
Cet avis a pour objet d’attirer votre attention sur une vulnérabilité dans la librairie glibc, une composante clé de plusieurs distributions Linux.
Évaluation
La librairie GNU C (glibc) est une collection de code source ouvert qui fonctionne sur différente application et sur plusieurs distributions Linux. La vulnérabilité dans glibc est liée à un débordement de tampon dans la pile dans le glibc dns côté client qui met à risque les machines Linux affecté par du code exécutable à distance. La vulnérabilité est déclenchée quand la fonction getaddrinfo(), responsable des recherches des noms de domaines, est utilisée.
Logiciel affecté : Toutes les versions de glibc de 2.9 à 2.2 sont vulnérables.
Référence CVE : CVE-2016-7547
Mesure suggérée
Le CCRIC recommande aux administrateurs et responsables des systèmes de tester les mises à jour publiées ou les mesures de contournements recommandés par le fournisseur et de les appliquer aux applications touchées.
Références :
https://www.kb.cert.org/vuls/id/457759 (en anglais)
https://www.us-cert.gov/ncas/current-activity/2016/02/17/GNU-glibc-Vulnerability (en anglais)
https://rhn.redhat.com/errata/RHSA-2016-0175.html (en anglais)
https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html (en anglais)
http://arstechnica.com/security/2016/02/extremely-severe-bug-leaves-dizzying-number-of-apps-and-devices-vulnerable/ (en anglais)
http://www.zdnet.com/article/patch-linux-now-google-red-hat-warn-over-critical-glibc-bug/ (en anglais)
https://threatpost.com/critical-glibc-vulnerability-puts-all-linux-machines-at-risk/116261/ (en Anglais)