Рекомендация Debian по безопасности

DSA-2873-1 file -- несколько уязавимостей

Дата сообщения:
11.03.2014
Затронутые пакеты:
file
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 703993.
В каталоге Mitre CVE: CVE-2014-2270, CVE-2013-7345.
Более подробная информация:

В file, инструменте классификации типов файлов, были обнаружены несколько уязвимостей.

Аарон Рефет сообщил об уязвимости, проявляющейся в том, как утилита file определяет тип файлов в формате Portable Executable (PE), формате исполняемых файлов, используемых в Windows. При обработке дефектного или специально подготовленного исполняемого файла в формате PE, содержащего некорректную информацию о смещении относительно базового адреса, функция file_strncmp выходит за границы памяти, что приводит к аварийному завершению работы file. Проект Common Vulnerabilities and Exposures присвоил данной уязвимости идентификатор CVE-2014-2270.

Майк Фризингер сообщил, что правило, используемое для определения сценариев AWK, значительно замедляет работу утилиты file. Регулярное выражение, используемое для обнаружения файлов AWK, содержит две звёздочки, что может использоваться для запуска чрезмерного поиска с возвратом в движке регулярных выражений.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 5.04-5+squeeze4.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.11-2+deb7u2.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 1:5.17-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:5.17-1.

Рекомендуется обновить пакеты file.