===================================================================== CERT-Renater Note d'Information No. 2023/VULN381 _____________________________________________________________________ DATE : 06/10/2023 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Debian linux running glibc versions prior to 2.31-13+deb11u7, 2.36-9+deb12u3. ===================================================================== https://www.debian.org/security/2023/dsa-5514 _____________________________________________________________________ Bulletin d'alerte Debian DSA-5514-1 glibc -- Mise à jour de sécurité Date du rapport : 3 octobre 2023 Paquets concernés : glibc Vulnérabilité : Oui Références dans la base de données de sécurité : Dans le dictionnaire CVE du Mitre : CVE-2023-4911. Plus de précisions : Qualys Research Labs a découvert un dépassement de tampon dans le traitement du chargeur dynamique de la variable d'environnement GLIBC_TUNABLES. Un attaquant peut exploiter ce défaut pour une élévation de privilèges. Vous trouverez plus de détails dans l'annonce de Qualys à l'adresse https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld-so.txt. Pour la distribution oldstable (Bullseye), ce problème a été corrigé dans la version 2.31-13+deb11u7. Pour la distribution stable (Bookworm), ce problème a été corrigé dans la version 2.36-9+deb12u3. Cette mise à jour inclut des corrections pour le CVE-2023-4527 et le CVE-2023-4806 prévues à l'origine pour la prochaine version intermédiaire de Bookworm . Nous vous recommandons de mettre à jour vos paquets glibc. Pour disposer d'un état détaillé sur la sécurité de glibc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/glibc. ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =========================================================