Säkerhetsbulletin från Debian

DSA-2873-1 file -- flera sårbarheter

Rapporterat den:
2014-03-11
Berörda paket:
file
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 703993.
I Mitres CVE-förteckning: CVE-2014-2270, CVE-2013-7345.
Ytterligare information:

Flera sårbarheter har upptäckts i file, ett filtypsklassificeringsverktyg.

Aaron Reffett rapporterade ett problem i sättet som file-verktyget bestämmer typen av Portable Executable (PE)-formaterade filer, det körbara filformatet som används på Windows. Vid behandling av en defekt eller avsiktligt framställd PE-exekverbar fil som innehåller felaktig offset-information, så kunde funktionen file_strncmp få åtkomst till minne som är utanför gränserna, vilket får file att krascha. Projektet Common and Exposures ID CVE-2014-2270 har tilldelats för att identifiera detta problem.

Mike Frysinger rapporterade att files regler för att detektera AWK-script avsevärt saktar ner file. De reguljära uttrycken för att detektera AWK-filer innhåller två stjärn-operatorer, som kunde exploateras för att orsaka överdriven backning i regex-motorn.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 5.04-5+squeeze4.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.11-2+deb7u2.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 1:5.17-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:5.17-1.

Vi rekommenderar att ni uppgraderar era file-paket.