Debian セキュリティ勧告

DSA-2873-1 file -- 複数の脆弱性

報告日時:
2014-03-11
影響を受けるパッケージ:
file
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 703993.
Mitre の CVE 辞書: CVE-2014-2270, CVE-2013-7345.
詳細:

複数の欠陥が file、ファイル形式判定ツールに発見されました。

Aaron Reffett さんが、Windows で利用されている実行可能形式 (PE、Portable Executable) ファイルの種類を file ユーティリティが判定する方法に欠陥を報告しています。 不具合のある、あるいは意図的に用意した、不正なオフセット情報の含まれる PE 実行可能ファイルを処理した場合に file_strncmp ルーチンが範囲外のメモリにアクセスして file のクラッシュを引き起こします。この欠陥を識別するのに CVE ID CVE-2014-2270 が割り当てられています。

Mike Frysinger さんが、file の AWK スクリプト検出用規則が file を著しく低速にすることを報告しています。AWK ファイルを検出するための正規表現に「*」演算子が2個含まれ、 それを悪用して正規表現エンジンで過剰な後戻り処理を引き起こす可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 5.04-5+squeeze4 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 5.11-2+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1:5.17-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:5.17-1 で修正されています。

直ちに file パッケージをアップグレードすることを勧めます。