glibc - решето

0

1

CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow

https://googleonlinesecurity.blogspot.de/2016/02/cve-2015-7547-glibc-getaddri...

Для Ъ: переполнение буффера в getaddrinfo.

Ссылка

←	Смартфоны: вектор вырождения

Экспериментировал с virgl, запустил но с артефактами

→

ШО ОПЯТЬ? Только в январе 2015 дыру закрыли в getaddrinfo().

Правда, там её поюзать можно было имея разве что околорутовые права.

svr4 ☆
(16.02.16 21:51:18 MSK)

Ответ на: комментарий от svr4 16.02.16 21:51:18 MSK

http://seclists.org/fulldisclosure/2010/Oct/257
Зато вот это была эпичная дырища, кучу хостеров через нее положили.

~~xtraeft~~ ★★☆☆
(16.02.16 22:02:28 MSK)
Последнее исправление: xtraeft 16.02.16 22:03:15 MSK (всего исправлений: 1)

В stable уже.

$ aptitude changelog libc6

glibc (2.19-18+deb8u3) stable-security; urgency=medium

  [ Aurelien Jarno ]
  * Update from upstream stable branch:
    - Fix segmentation fault caused by passing out-of-range data to strftime()
      (CVE-2015-8776).  Closes: #812445.
    - Fix an integer overflow in hcreate() and hcreate_r() (CVE-2015-8778).
      Closes: #812441.
    - Fix multiple unbounded stack allocations in catopen() (CVE-2015-8779).
      Closes: #812455.
  * patches/any/local-CVE-2015-7547.diff: new patch to fix glibc getaddrinfo
    stack-based buffer overflow (CVE-2015-7547).

Zubok ★★★★★
(16.02.16 22:02:57 MSK)