В библиотеке glibc была обнаружена уязвимость (целочисленное переполнение).

Эта уязвимость присутствует в функции strfmon (форматирование числа как денежной суммы) и позволяет выполнить произвольный код с правами вызвавшего эту функцию приложения, либо аварийно завершить его работу.

Пример уязвимого кода на PHP (вызывает ошибку сегментирования):

php -r 'money_format("%.1073741821i",1);'

Уязвимости подвержены все версии glibc вплоть до 2.10.1. В настоящее время информация о багфиксах отсутствует.

>>> Подробности

В Debian Linux происходит замена традиционной библиотеки GLIBC на EGLIBC. Пакеты уже выложены на http://ftp-master.debian.org/.

EGLIBC бинарно совместима с GLIBC и нацелена в первую очередь на embedded-приложения. Однако, имеется ряд преимуществ, которые в Debian посчитали (см. http://blog.aurel32.net/?p=47) достаточно важными для замены традиционной C-библиотеки:

• Разработчики не закрывают правильные сообщения об ошибках как WONTFIX
• Стабильная ветка не «для галочки», а с реальными исправлениями
• Поддержка сборки с /bin/sh != bash
• Поддержка сборки с оптимизацией по размеру (-Os)
• Возможности конфигурации набора компонентов (например, можно удалить возможность разрешения имен через NIS из libc для инсталляционного диска)
• Более полный набор тестов для оптимизированных пакетов и для поддержки двух архитектур одновременно (i386/amd64)

>>> Подробности