La
libc de GNU (glibc) est concernée par une nouvelle faille,
CVE-2015-7547.
Elle concerne tout le monde, serveurs et desktops, utilisant GNU/Linux.
Solution : mettre à jour sa distribution, comme Debian.
https://security-tracker.debian.org/tracker/CVE-2015-7547
https://www.debian.org/security/2016/dsa-3481
Pour connaître sa version de glibc sous Debian :
dpkg-query -l 'libc-*'
Sur Jessie, la version
2.19-18+deb8u2 est vulnérable (valable pour les versions antérieures), la version
2.19-18+deb8u3 ne l'est plus. Sur Wheezy 2.13-38+deb7u8 est vulnérable, 2.13-38+deb7u10 ne l'est pas (et il faut les dépôts security).
Quels sont les risques ?
La résolution de domaine avec
getaddrinfo() peut présenter un dysfonctionnement sans certaines conditions, menant à un
stack buffer overflow voire à l’exécution de code malveillant. En savoir plus ici :
http://linuxfr.org/users/bortzmeyer/journaux/faille-de-securite-dans-la-gnu-libc-avec-les-requetes-dns
