<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style id="owaParaStyle" type="text/css">P {margin-top:0;margin-bottom:0;}</style>
</head>
<body ocsi="0" fpstyle="1">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;"><span style="font-size:11pt;">
<div>Enea Linux Security Advisory</div>
<div>=========================================================</div>
<div>Product/package: glibc 2.20</div>
<div>Severity: Low</div>
<div>CVE Name: CVE-2014-9402</div>
<div>=========================================================</div>
<div>A security that patch fixes a denial of service vulnerability in</div>
<div>getnetbyname function is now available at</div>
<div><a href="http://linux.enea.com/5.0-beta-m400/patches:" target="_blank">http://linux.enea.com/5.0-beta-m400/patches</a></div>
<div>&nbsp;</div>
<div>README file: 0010-glibc-CVE-2014-9402-endless-loop-in-getaddr_r.patch</div>
<div>Patch file: 0010-glibc-CVE-2014-9402-endless-loop-in-getaddr_r.patch</div>
<div>&nbsp;</div>
<div>Description</div>
<div>===========</div>
<div>The nss_dns implementation of getnetbyname in GNU C Library (aka glibc)</div>
<div>before 2.21, when the DNS backend in the Name Service Switch</div>
<div>configuration is enabled, allows remote attackers to cause a denial of</div>
<div>service (infinite loop) by sending a positive answer while a network</div>
<div>name is being process.</div>
<div>&nbsp;</div>
<div>References</div>
<div>==========</div>
<div><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9402" target="_blank"><font color="#0563C1"><u>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9402</u></font></a>
</div>
<div>&nbsp;</div>
<div>How to apply the patches</div>
<div>=======================</div>
<div>- Preparation</div>
<div>Make sure that you have an installation of Enea Linux and have</div>
<div>applied the existing patches in the right order</div>
<div>&nbsp;</div>
<div>wget <a href="http://linux.enea.com/5.0-beta-m400/Enea-Linux-5.0-beta-m400.tar.gz" target="_blank">
http://linux.enea.com/5.0-beta-m400/Enea-Linux-5.0-beta-m400.tar.gz</a></div>
<div>tar zxvf Enea-Linux-5.0-beta-m400.tar.gz</div>
<div>&lt;Fetch and apply the existing patches, please refer to</div>
<div>&nbsp;&nbsp;&nbsp; README file for the individual patch&gt;</div>
<div>&nbsp;</div>
<div>- Fetch and apply the new patch</div>
<div>cd Enea-Linux-5.0-beta-m400/poky</div>
<div>wget</div>
<div><a href="http://linux.enea.com/5.0-beta-m400/patches/0010-glibc-CVE-2014-9402-endless-loop-in-getaddr_r.patch" target="_blank">http://linux.enea.com/5.0-beta-m400/patches/0010-glibc-CVE-2014-9402-endless-loop-in-getaddr_r.patch</a></div>
<div>patch -p1 &lt; ./0010-glibc-CVE-2014-9402-endless-loop-in-getaddr_r.patch</div>
<div>&nbsp;</div>
<div>If you have any questions regarding the security patches and security</div>
<div>updates please contact security@enea.com.</div>
<div>&nbsp;</div>
<div>Enea Security Team<span style="font-size:11pt;"></span><br>
</div>
<div><a href="http://www.enea.com" target="_blank">www.enea.com</a></div>
<div>&nbsp;</div>
<div>This message, including attachments, is CONFIDENTIAL. It may also be</div>
<div>privileged or otherwise protected by law. If you received this email</div>
<div>by mistake please let us know by reply and then delete it from your</div>
<div>system; you should not copy it or disclose its contents to anyone.</div>
</span></div>
</body>
</html>