Bulletin d'alerte Debian

DLA-131-1 file -- Mise à jour de sécurité pour LTS

Date du rapport :
9 janvier 2015
Paquets concernés :
file
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 773148.
Dans le dictionnaire CVE du Mitre : CVE-2014-8116, CVE-2014-8117.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans file, un outil et une bibliothèque de détermination de type de fichier. Le traitement d'un fichier malformé pourrait avoir pour conséquence un déni de service. La plupart des modifications sont relatives à l'analyse des fichiers ELF.

Dans le cadre de ces corrections, plusieurs limites sur certains aspects de la détection ont été ajoutées ou renforcées, parfois aboutissant à des messages comme recursion limit exceeded ou too many program header sections.

Pour atténuer de tels défauts, ces limites sont contrôlables par l'introduction d'une nouvelle option « -R »/« --recursion » dans le programme file. Note : une prochaine mise à niveau de file dans squeeze-lts pourrait remplacer cela par l'option « -P » pour garder un usage cohérent entre toutes les distributions.

  • CVE-2014-8116

    L'analyseur ELF (readelf.c) permet à des attaquants distants de provoquer un déni de service (épuisement de processeur ou plantage).

  • CVE-2014-8117

    softmagic.c ne limite pas correctement les récursions. Cela permet à des attaquants distants de provoquer un déni de service (épuisement de processeur ou plantage).

    (Pas encore de numéro d'identification attribué)

    Accès mémoire hors limites

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 5.04-5+squeeze9 de file.