Bulletin d'alerte Debian

DSA-2873-1 file -- Plusieurs vulnérabilités

Date du rapport :
11 mars 2014
Paquets concernés :
file
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 703993.
Dans le dictionnaire CVE du Mitre : CVE-2014-2270, CVE-2013-7345.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans file, un outil de classification de type de fichiers.

Aaron Reffett a signalé un défaut dans la manière dont l'utilitaire file déterminait le type des fichiers de format Portable Executable (PE), le format d'exécutable utilisé par Windows. Lors du traitement d'un exécutable PE défectueux ou spécialement préparé qui contient des informations de décalage invalides, la routine file_strncmp accédera à un emplacement mémoire qui est hors limites, provoquant le plantage de file. Le projet « Common Vulnerabilities and Exposures » a assigné l'identifiant CVE-2014-2270 à ce problème.

Mike Frysinger a signalé que la règle de file pour détecter les scripts AWK le ralentissait significativement. L'expression rationnelle pour détecter les fichiers AWK contient deux opérateurs astérisque qui pourraient être exploités pour provoquer des retours en arrière excessifs dans le moteur d'expressions régulières.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 5.04-5+squeeze4.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.11-2+deb7u2.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 1:5.17-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:5.17-1.

Nous vous recommandons de mettre à jour vos paquets file.