Debians sikkerhedsbulletin

DSA-2873-1 file -- flere sårbarheder

Rapporteret den:
11. mar 2014
Berørte pakker:
file
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 703993.
I Mitres CVE-ordbog: CVE-2014-2270, CVE-2013-7345.
Yderligere oplysninger:

Flere sårbarheder er fundet i file, et værktøj til at klassificere filtyper.

Aaron Reffett rapporterede om en fejl i den måde, file-værktøjet identificerer filtyper i formatet Portable Executable (PE), det udførbare format, som benyttes af Windows. Ved behandling af defekte eller bevidst forberedte udførbare PE-filer indeholdende ugyldige offsetoplysninger, tilgik rutinen file_strncmp hukommelse uden for grænserne, hvilket fik file til at gå ned. Projektet Common Vulnerabilities and Exposures har tildelt id'en CVE-2014-2270 til registrering af fejlen.

Mike Frysinger rapporterede at files regel til at genkende AWK-skripter sløvede file betydeligt ned. Det regulære udtryk, som genkender AWK-filer, indeholdt to stjerne-operatorer, hvilket kunne udnyttes til at forårsage for megen backtracking i regex-motoren.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 5.04-5+squeeze4.

I den stabile distribution (wheezy), er disse problemer rettet i version 5.11-2+deb7u2.

I distributionen testing (jessie), er disse problemer rettet i version 1:5.17-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1:5.17-1.

Vi anbefaler at du opgraderer dine file-pakker.