The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a database and tools to fix them.

Computer vulnerabilities of GNU GCC

vulnerability note CVE-2017-11671

GCC: information disclosure via RDRAND/RDSEED

Synthesis of the vulnerability

An attacker can bypass access restrictions to data via RDRAND/RDSEED of GCC, in order to obtain sensitive information.
Impacted products: Fedora, GCC, openSUSE Leap, RHEL.
Severity: 1/4.
Consequences: data reading.
Provenance: document.
Creation date: 27/07/2017.
Identifiers: CVE-2017-11671, FEDORA-2017-32a4a94c72, openSUSE-SU-2017:2901-1, RHSA-2018:0849-01, VIGILANCE-VUL-23374.

Description of the vulnerability

An attacker can bypass access restrictions to data via RDRAND/RDSEED of GCC, in order to obtain sensitive information.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability CVE-2016-4973

GCC: security improvement with libssp

Synthesis of the vulnerability

An application compiled with libssp by GCC does not contains needed protections against buffer overflows.
Impacted products: GCC.
Severity: 1/4.
Consequences: user access/rights, denial of service on service, denial of service on client.
Provenance: internet client.
Creation date: 18/08/2016.
Identifiers: 1324759, CVE-2016-4973, VIGILANCE-VUL-20425.

Description of the vulnerability

The GCC compiler can use libssp (Stack Smashing Protection) to generate programs containing protections against memory corruptions.

However, in this case, the _FORTIFY_SOURCE feature (which protects the memcpy(), etc. functions) is not enabled.

An application compiled with libssp by GCC therefore does not contains needed protections against buffer overflows.
Full Vigil@nce bulletin... (Free trial)

vulnerability announce CVE-2015-5276

GNU GCC: predictability of std-random_device

Synthesis of the vulnerability

An attacker can predict some randoms generated by C++ programs compiled with GNU GCC.
Impacted products: FabricOS, Brocade Network Advisor, Brocade vTM, GCC, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES.
Severity: 2/4.
Consequences: data reading.
Provenance: document.
Creation date: 10/11/2015.
Identifiers: BSA-2016-006, CVE-2015-5276, openSUSE-SU-2015:1946-1, openSUSE-SU-2016:1069-1, SUSE-SU-2017:2235-1, VIGILANCE-VUL-18272.

Description of the vulnerability

The GNU GCC product contains the libstdc++ library, which implements the std::random_device class.

The std::random_device::_M_getval() method of libstdc++ is used to generate random numbers from a file. However, it does not check the return value of the read() function. If an error occurs (blocked file), random data are thus initialized from the stack content.

An attacker can therefore predict some randoms generated by C++ programs compiled with GNU GCC.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability 4155

Débordements non détectés par l'option -ftrapv de gcc

Synthesis of the vulnerability

Lorsqu'un programme est compilé avec l'option -ftrapv, certains débordements d'entiers ne sont pas détectés.
Impacted products: GCC.
Severity: 1/4.
Consequences: user access/rights.
Provenance: user shell.
Creation date: 03/05/2004.
Identifiers: V6-UNIXGCCFTRAPV, VIGILANCE-VUL-4155, VU#540517.

Description of the vulnerability

L'option -ftrapv de gcc permet de détecter les débordements d'entiers signés sur les opérations d'addition, de soustraction et de multiplication. Lorsqu'un tel débordement se produit, la fonction abort() est appelée ce qui interrompt le programme.

Certains développeurs peuvent utiliser cette option pour protéger leurs programmes contre les attaques corrompant la mémoire suite à un débordement d'entier.

Cependant, environ 50% des débordements de multiplications ne sont pas détectés.

Un développeur peut donc penser que l'emploi de l'option -ftrapv de gcc protège son code contre les débordements d'entiers, alors que certains débordements sont toujours possibles.
Full Vigil@nce bulletin... (Free trial)

vulnerability note CVE-2002-0059

Vulnérabilité de gcc liée à zlib

Synthesis of the vulnerability

Le programme gcc peut être sujet à un déni de service ou permettre l'exécution de code malicieux.
Impacted products: GCC, Mandriva Linux, RedHat Linux, Unix (platform) ~ not comprehensive.
Severity: 2/4.
Consequences: user access/rights, denial of service on service.
Provenance: user shell.
Creation date: 12/03/2002.
Revision date: 13/03/2002.
Identifiers: CA-2002-07, CVE-2002-0059, MDKSA-2002:023, MDKSA-2002:023-1, RHSA-2002:026, V6-UNIXZLIB2FREEGCC3, VIGILANCE-VUL-2354, VU#368819.

Description of the vulnerability

Le compilateur gcc est employé pour compiler des programmes écrits en langage C. Le programme g++, quant à lui, assure la compilation de programmes en langage C++.

Ces programmes sont liés statiquement à la bibliothèque zlib. La vulnérabilité VIGILANCE-VUL-2344 peut donc les affecter. Ainsi, pour protéger le système, il faut :
 - mettre à jour zlib (comme indiqué dans le bulletin VIGILANCE-VUL-2344), et
 - mettre à jour les programmes (comme indiqué dans la présente fiche)
Full Vigil@nce bulletin... (Free trial)
Our database contains other pages. You can request a free trial to read them.

Display information about GNU GCC: