公告ID（CS2CSA-2017-0680）

摘要： glibc安全，漏洞修復(fù)，增強(qiáng)更新安全等級(jí)：中等公告ID： CS2CSA-2017-0680 產(chǎn)品：中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) 發(fā)布日期： 2017-03-21 CVE： CVE-2014-9761 ，CVE-2015-8776 ，CVE-2015-8778 ， CVE-2015-8779

詳細(xì)介紹

1. 概述：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6有g(shù)libc可用的更新。
中標(biāo)軟件產(chǎn)品安全經(jīng)評(píng)定此更新對(duì)產(chǎn)品安全有重要意義。

2. 相關(guān)版本/架構(gòu)：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6-X86_64。

3. 描述：
在系統(tǒng)上glibc包提供了標(biāo)準(zhǔn)C庫(kù)(libc)，POSIX線程庫(kù)(libpthread)，標(biāo)準(zhǔn)的數(shù)學(xué)庫(kù)(libm)，名稱(chēng)服務(wù)緩存守護(hù)進(jìn)程(nscd)等多進(jìn)程。如果沒(méi)有這些庫(kù)，Linux系統(tǒng)不能正常工作。

4. 安全加固：

*堆棧溢出漏洞被發(fā)現(xiàn)在 nan*開(kāi)頭的函數(shù)中，這會(huì)導(dǎo)致應(yīng)用程序在處理長(zhǎng)字符串函數(shù)的時(shí)候發(fā)生崩潰，或者有可能執(zhí)行任意代碼。(CVE - 2014 - 9761)

*如果將非法的時(shí)間值當(dāng)參數(shù)傳給strftime()函數(shù)處理時(shí)，會(huì)導(dǎo)致一個(gè)界外內(nèi)存訪問(wèn)，從而引起應(yīng)用程序崩潰。(CVE - 2015 - 8776)

*在hcreate()和hcreate_r()函數(shù)中發(fā)現(xiàn)一個(gè)整型變量溢出漏洞，這可能導(dǎo)致一個(gè)界外內(nèi)存訪問(wèn)，并引起應(yīng)用程序崩潰或任意代碼執(zhí)行。(CVE - 2015 - 8778)

*在catopen()函數(shù)中發(fā)現(xiàn)一個(gè)基于堆棧緩沖區(qū)溢出的漏洞函數(shù)。在極端情況下，一個(gè)長(zhǎng)符串類(lèi)型參數(shù)傳遞給該函數(shù)，則可能會(huì)導(dǎo)致崩潰或者執(zhí)行任意代碼。(CVE - 2015 - 8779)

5. 安裝包列表：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6：
源碼包：
glibc-2.12-1.209.el6.src.rpm

x86_64版本：
glibc-2.12-1.209.el6.i686.rpm
glibc-2.12-1.209.el6.x86_64.rpm
glibc-common-2.12-1.209.el6.x86_64.rpm
glibc-debuginfo-2.12-1.209.el6.i686.rpm
glibc-debuginfo-2.12-1.209.el6.x86_64.rpm
glibc-debuginfo-common-2.12-1.209.el6.i686.rpm
glibc-debuginfo-common-2.12-1.209.el6.x86_64.rpm
glibc-devel-2.12-1.209.el6.i686.rpm
glibc-devel-2.12-1.209.el6.x86_64.rpm
glibc-headers-2.12-1.209.el6.x86_64.rpm
glibc-utils-2.12-1.209.el6.x86_64.rpm
nscd-2.12-1.209.el6.x86_64.rpm