Vulnérabilités dans la librairie glibc

CVE-2009-5155 [Score CVSS v3 : 7.5]

Une vulnérabilité dans la bibliothèque GNU C (glibc ou libc6) a été corrigée. Cette faille provient du fait que la fonction parse_reg_exp dans posix/regcomp.c analyse mal les alternatives. Ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou encore de déclencher un résultat incorrect en tentant une correspondance d'expression régulière.

CVE-2020-6096 [Score CVSS v3 : 8.1]

Une vulnérabilité de comparaison signée a été corrigée dans l'implémentation ARMv7 de memcpy() de GNU glibc. L'appel de memcpy() (sur les cibles ARMv7 qui utilisent l'implémentation de GNU glibc) avec une valeur négative pour le paramètre 'num' entraîne une vulnérabilité de comparaison signée. Son exploitation peut potentiellement permettre à un attaquant distant et non authentifié d'écrire dans une mémoire hors limites et d'exécuter du code à distance. En outre, cette mise en œuvre de memcpy() permet la poursuite de l'exécution du programme dans des scénarios où une erreur de segmentation ou un crash aurait dû se produire. Le danger réside également dans le fait que l'exécution et les itérations ultérieures de ce code seront exécutées avec ces données corrompues.